Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ) обнаружили вирус для Linux, созданный российскими спецслужбами. Он получил название Drovorub.
Drovorub предназначен для создания бэкдоров — дефектов алгоритма, позволяющих получить несанкционированный доступ к данным или удалённому управлению компьютером. Американские исследователи говорят, что вредонос создали российские хакеры из группировки APT28, которую связывают с российскими спецслужбами, в частности с 85-м главным центром специальной службы ГРУ. Специалисты узнали о связи Drovorub с APT28, изучив используемые хакерами серверы.
Представители ФБР и АНБ утверждают, что им удалось связать Drovorub с APT28 благодаря тому, что хакеры повторно используют одни и те же серверы для различных операций. Так, Drovorub подключается к управляющему серверу, который в 2019 году уже использовался для атак, нацеленных на IoT-устройства. Тогда IP-адрес этого сервера был задокументирован специалистами Microsoft.
Эксперты из McAfee назвали Drovorub «швейцарским ножом», который позволяет злоумышленникам выполнять множество различных операций, в том числе хищение файлов и удалённое управление компьютером жертвы. Drovorub также использует руткиты, затрудняющие его обнаружение.
Чтобы обезопасить себя от Drovorub, американские правоохранители рекомендуют организациям в США обновить системы до версии с ядром Linux 3.7 или более поздней, чтобы принудительная проверка подписей ядра и модулей препятствовали работе Drovorub. Также в 45-страничном документе содержатся руководство по запуску Volatility, правила Snort и Yara и другая полезная для обнаружения возможной компрометации информация.
Интересно, что название Drovorub малвари дали не исследователи, а сами хакеры. Известный ИБ-специалист Дмитрий Альперович, давно занимающийся изучением российских хакерских кампаний, напоминает, что «дрова» на русскоязычном сленге – это драйверы, и название следует трактовать именно в этом ключе.
