El FBI y la NSA han emitido una advertencia conjunta sobre un malware de Linux previamente desconocido, que ha sido utilizado por el grupo de hackers Fancy Bear en ataques destinados a comprometer redes sensibles, robar información confidencial y ejecutar comandos maliciosos.
El malware, conocido como "Drovorub" (que significa "leñador" o "cortar madera") por sus autores, es un conjunto de herramientas de malware de Linux compuesto por un implante junto con un módulo de kernel rootkit, una herramienta de transferencia de archivos, reenvío de puertos y un servidor de comando y control (C2). El implante Drovorub proporciona la capacidad de comunicaciones directas con la infraestructura C2 controlada por el atacante; capacidades de carga y descarga de archivos; ejecución de comandos arbitrarios como "root"; y reenvío de puertos del tráfico de la red a otros hosts de la red.
“Varias técnicas de detección complementarias identifican eficazmente la actividad del malware Drovorub. Sin embargo, el módulo Drovorub-kernel plantea un desafío para la detección a gran escala en el host porque oculta los artefactos Drovorub de las herramientas que se utilizan comúnmente para la respuesta en ejecución en vivo”, dice el informe.
Si bien el informe de 45 páginas proporciona un análisis en profundidad del funcionamiento interno del malware, no reveló cómo se entrega Drovorub en un sistema de destino, solo dice que los atacantes utilizan una “amplia variedad de técnicas patentadas y conocidas públicamente para atacar redes y conservar su malware en dispositivos comerciales ". El Fancy Bear APT generalmente se basa en spam malicioso o ataques de phishing que infectan computadoras o roban contraseñas, así como en exploits para vulnerabilidades que no han sido parcheadas.
Las autoridades no especificaron desde cuándo el malware ha estado en circulación, cuántas empresas fueron atacadas y si los ataques tuvieron éxito.
Para evitar ataques, las organizaciones deben actualizar a Linux Kernel 3.7 o posterior para aprovechar al máximo la aplicación de la firma del kernel.
“Además, se recomienda a los propietarios de sistemas que configuren los sistemas para cargar solo módulos con una firma digital válida, lo que dificulta que un actor introduzca un módulo de kernel malicioso en el sistema”, aconsejaron las dos agencias.
