La NSA et le FBI ont publié un nouvel avis de cybersécurité avertissant que les pirates informatiques du gouvernement russe connus sous le nom de Fancy Bear ont commencé à déployer un malware jusque-là non divulgué qui cible les systèmes Linux.
Les pirates en question, également connus sous le nom d'APT28 ou Stronium, travaillent pour le 85e centre de services spéciaux principal de la direction générale du renseignement de l'état-major de Russie (unité militaire 26165) et se réfèrent à leur nouvelle souche de logiciels malveillants comme Drovorub. Le malware est un rootkit conçu pour infecter et prendre le contrôle des systèmes Linux afin de voler leurs fichiers et Fancy Bear l'utilise contre des cibles précieuses pour le Kremlin.
La NSA et le FBI ont fourni plus de détails sur les capacités de Drovorub dans leur avis de cybersécurité, disant:
«Drovorub est un ensemble d'outils malveillants Linux composé d'un implant couplé à un rootkit de module de noyau, un outil de transfert de fichiers et de transfert de port, et un serveur de commande et de contrôle (C2). Lorsqu'il est déployé sur une machine victime, l'implant Drovorub (client) offre la possibilité de communiquer directement avec l'infrastructure C2 contrôlée par l'acteur; capacités de téléchargement et de téléchargement de fichiers; exécution de commandes arbitraires en tant que "root"; et le transfert de port du trafic réseau vers d’autres hôtes du réseau. »
Sommaire
Logiciel malveillant Drovorub
Le module noyau de Drovorub est l'une des parties les plus dangereuses de cette nouvelle souche de malware car il est capable de se connecter au noyau d'un système Linux pour intercepter et filtrer les appels système. Cela empêche les utilisateurs, les administrateurs et même les logiciels antivirus automatisés d'observer les activités du malware ainsi que ses fichiers.
La NSA et le FBI ont également souligné dans leur avis que la détection de l'activité du malware à grande échelle est assez difficile car le malware «cache les artefacts Drovorub des outils couramment utilisés pour la réponse en direct à grande échelle».
Étant donné que Fancy Bear est une unité de l'armée russe, le groupe travaille souvent sur des domaines de très grande valeur dans lesquels le Kremlin a un intérêt et cible fréquemment des entités des secteurs de la défense, du gouvernement et de l'aérospatiale. On pense que le groupe est responsable du piratage du Comité national démocrate en 2016 et du ciblage de l'Agence mondiale antidopage en 2019.
Afin de mieux détecter la présence de Drovorub sur leurs systèmes, la NSA et le FBI recommandent aux organisations de bloquer les modules de noyau non approuvés, de maintenir leurs installations Linux à jour et d'utiliser la version 3.7 ou ultérieure du noyau. Malheureusement, ces mesures n'empêcheront pas le logiciel malveillant d'infecter un système Linux, mais le rendront seulement plus facile à détecter.
Via le registre
