Na quinta-feira (13), o FBI e a NSA publicaram um alerta de segurança conjunto falando sobre um novo tipo de malware para Linux que as agências dizem ter sido desenvolvido e implementado por hackers militares da Rússia.

Ainda de acordo com o documento, a criação foi utilizada em ataques no mundo todo. O malware, batizado de Drovorub, foi utilizado pelos hackers para plantar backdoors em redes invadidas. Com base nas evidências coletadas pelas duas agências, o malware foi criado pelo APT28, codinome dado pelos hackers que operam na unidade 26165 do Departamento Central de Inteligência da Rússia.

Reprodução

Novo malware para Linux é revelado pelo FBI e NSA. Foto: iStock

O principal objetivo das agências com a liberação do alerta conjunto é o de conscientizar os setores públicos e privados dos Estados Unidos para que as divisões de tecnologia trabalhem rapidamente em ferramentas que podem detectar o malware e impedir invasões.

O ataque foi atribuído ao grupo russo por coincidências encontradas com ocorrências anteriores. Os hackers russos reutilizaram servidores em diferentes operações. As duas agências afirmam que o grupo está conectado a um servidor que foi usado anteriormente em invasões de dispositivos de internet das coisas (IoT).

Drovorub

Pelo que foi apurado, o Drovorub é um sistema multicomponente que conta com um módulo de kernel, uma ferramenta que facilita a transferência de arquivos, um módulo para encaminhamento de porta e um servidor de comando e controle (C2).

“O Drovorub é um ‘canivete suíço’ de capacidades que permite ao atacante executar muitas funções diferentes, como roubar arquivos e controlar remotamente o computador da vítima”, disse Steve Grobman, CTO da McAfee ao ZDNet.

“Além dos vários recursos, ele foi projetado para ser furtivo, utilizando tecnologias avançadas de ‘rootkit’ que dificultam as detecções. Essa furtividade permite que os operadores implantem o malware em muitos tipos de alvos, com ataques que podem ser feitos a qualquer momento”, completa Grobman.

“Os Estados Unidos são um ambiente rico em alvos para ataques cibernéticos em potencial. Os objetivos do Drovorub não foram mencionados no documento, mas podem variar de espionagem industrial a interferência eleitoral”, finaliza.

Para evitar possíveis ataques, as agências recomendam que as organizações dos EUA atualizem qualquer sistema Linux para uma versão do kernel superior a 3.7. Esse update faria com que fosse aproveitado ao máximo a assinatura do kernel, evitando a instalação do malware.

Via: ZDNet