FBI和NSA揭示了针对Linux和IOT设备的恶意软件

联邦调查局（FBI）和国家安全局（NSA）发布了一份联合报告，其中揭示了以前未报告的恶意软件“ Drovorub”。两家机构将恶意软件归因于APT28，该出版物将其归类为Fancy Bear。报告包含有关如何预防Drovorub感染受害者的信息。

Drovorub恶意软件是一种多组件恶意软件。它由植入物，内核模块rootkit，文件传输工具，端口转发模块和命令与控制（C2）服务器组成。该恶意软件可以执行各种功能，包括窃取数据和从远程控制设备。由于使用了高级rootkit，该恶意软件实现了较高的隐身性，很难检测到。

Rootkit允许威胁通过获得对设备的特权来实现对设备的根访问，并执行各种任务，包括键盘记录，文件盗窃，禁用防病毒产品以及状态赞助组中的许多其他操作。万一发生Drovorub感染，rootkit允许在启动时加载此恶意软件，这会在恶意软件幸免于系统重启后进一步增加被感染网络的持久性。此外，先进的rootkit允许花式熊感染多种目标并随时进行攻击。

可以假定，该恶意软件针对的是北美的组织，因为它们为各种黑客提供了很多机会。但是，代理商的报告未提及任何具体目标。该报告共45页，提供了一些重要的细节。两家机构均未提供恶意软件的名称。该名称由花式熊（Fancy Bear）使用，可以粗略翻译为砍柴。对于黑客来说，通过在多个活动中重用服务器（包括一项分发drovorub的操作）可以重用服务器，从而将恶意软件归咎于花哨的熊。

 花式熊一般针对IoT或物联网设备。在2019年初，微软揭露了一场感染iOT设备的运动。同年，发现了针对IOt设备的另一项运动。后者的竞选活动于8月揭晓。然而，研究人员说，“花式熊活动”可以追溯到4月，当时该组织试图入侵多个iOT设备。当时，Redmond IT巨头表示：

“调查发现，演员曾使用这些设备来初步访问公司网络。在两种情况下，在不更改默认制造商密码的情况下部署了设备密码，并且在第三种情况下，最新的安全更新尚未应用到设备。在获得对每个IoT设备的访问权限之后，参与者可以运行tcpdump来嗅探本地子网上的网络流量。还看到他们列举了行政团体以试图进一步剥削。当演员从一台设备移到另一台设备时，他们会放下一个简单的shell脚本以在网络上建立持久性，从而允许扩展访问权限以继续进行狩猎。”

根据两个机构提交的报告，部署了Drovorub。在发现使用了Microsoft先前记录的相同IP地址后，就在活动和恶意软件之间建立了链接。这些机构注意到：

“除了国家安全局和联邦调查局对GTsSS的归属外，Drovorub的作战指挥和控制基础设施还与众所周知的GTsSS作战网络基础设施相关联。例如，在2019年8月5日，Microsoft安全响应中心发布了有关将IP地址82.118.242.171链接到Strontium基础结构的信息，并在2019年4月与物联网（IoT）设备的开发有关。（Microsoft安全响应中心，2019年） （微软，2019年）美国国家安全局（NSA）和联邦调查局（FBI）已确认，在2019年4月，该IP地址也用于访问Drovorub C2 IP地址185.86.149.125。”

已发布的报告提供了有关该恶意软件的更多详细技术细节，包括运行波动性指南，文件隐藏行为探测，snort规则和Yara规则，供管理员开发适当的检测方法并保护网络。

此外，安全公司McAfee发表了一篇博客文章，介绍了有关安全措施和建议，以扫描rootkit并强化Linux内核易于感染的能力。为了预防起见，建议管理员将Linux Kernel更新到3.7版或更高版本。此外，管理员应以系统仅加载具有有效数字签名的模块的方式配置系统。

Drovorub针对Linux设备有多种原因。主要的问题是Linux是一种开放源代码，越来越多的制造商和大公司采用运行Linux的硬件。该恶意软件针对的是iOT设备，因为Linux已成为IoT设备的首选操作系统。对于开发人员而言，Linux的开放源性质具有吸引力。它节省了成本，并允许完整的操作系统透明性。这意味着，开发人员可以访问整个操作系统，并且可以开发更好的软件产品。这反过来吸引了黑客，他们现在可以发现和利用以前被忽略的漏洞。