眾所周知，與Windows病毒相比，Linux病毒是相對少見的，這主要是因為全球的Windows使用者要比Linux使用者多得多。攻擊者為了追求利益最大化，顯然會更多地傾向於攻擊Windows使用者。

然而，隨著近年來各種大大小小嚴重威脅到Linux系統和軟體安全的漏洞被披露，一些網路駭客對於攻擊Linux使用者的熱情似乎也因此被點燃了。

FBI和NSA釋出了一份聯合安全警報，其中包括一種新的Linux惡意軟體的詳細資訊。這兩家機構稱，這種惡意軟體是俄羅斯軍方駭客在真實世界中開發和部署的。並表示，俄羅斯駭客使用名為Drovorub的惡意軟體，在被入侵的網路中植入後門。

根據收集的證據，美國聯邦調查局和美國國家安全域性官員聲稱，該惡意軟體是APT28 (Fancy Bear, Sednit)所為。APT28是俄羅斯總參謀部主要情報理事會(GRU)第85主要特殊服務中心(GTsSS)軍事聯合26165部駭客的代號。FBI和NSA希望透過聯合發出警報，提高美國私營和公共部門的意識，以便IT管理者能夠迅速部署檢測規則和預防措施。

Drovorub - APT28是破解Linux的瑞士軍刀

根據這兩家機構的說法，Drovorub是一個多元件系統，包括一個implant、一個核心模組rootkit、一個檔案傳輸工具、一個port-forwarding模組和一個命令和控制(C2)伺服器。“Drovorub是一把‘瑞士軍刀’，它允許攻擊者執行許多不同的功能，比如竊取檔案和遠端控制受害者的電腦，”McAfee CTO Steve Grobman在一封電子郵件中說。

“除了Drovorub的多種能力之外，它還利用先進的‘rootkit’技術進行隱身設計，使檢測變得困難，”McAfee執行董事補充說。“隱形的元素允許特工在許多不同型別的目標中植入惡意軟體，使攻擊能夠在任何時候進行。”

“美國是一個潛在網路攻擊的目標豐富的環境。Drovorub的目標沒有在報告中提到，但它們可能從工業間諜活動到干預選舉，”格羅布曼說。

“美國國家安全域性和聯邦調查局今天公佈的有關APT28 Drovorub工具集的技術細節，對於美國各地的網路防禦者來說非常有價值。”

為了防止攻擊，建議將任何Linux系統升級到執行核心版本3.7或更高的版本，“以充分利用核心簽名執行，”這一安全特性可以防止APT28駭客安裝Drovorub的rootkit。

聯合安全警報[PDF]包含關於執行波動性、探測檔案隱藏行為、Snort規則和Yara規則的指導——所有這些都有助於部署正確的檢測措施。

FBI和NSA表示，在俄羅斯駭客在不同行動中重用伺服器之後，他們能夠將Drovorub與APT28連結。例如，兩家機構聲稱Drovorub已連線到C＆C伺服器，該伺服器以前曾在2019年春季用於針對物聯網裝置的APT28運營。該IP地址先前已由Microsoft記錄在案。