眾所周知,與Windows病毒相比,Linux病毒是相對少見的,這主要是因為全球的Windows使用者要比Linux使用者多得多。攻擊者為了追求利益最大化,顯然會更多地傾向於攻擊Windows使用者。
然而,隨著近年來各種大大小小嚴重威脅到Linux系統和軟體安全的漏洞被披露,一些網路駭客對於攻擊Linux使用者的熱情似乎也因此被點燃了。
FBI和NSA釋出了一份聯合安全警報,其中包括一種新的Linux惡意軟體的詳細資訊。這兩家機構稱,這種惡意軟體是俄羅斯軍方駭客在真實世界中開發和部署的。並表示,俄羅斯駭客使用名為Drovorub的惡意軟體,在被入侵的網路中植入後門。
根據收集的證據,美國聯邦調查局和美國國家安全域性官員聲稱,該惡意軟體是APT28 (Fancy Bear, Sednit)所為。APT28是俄羅斯總參謀部主要情報理事會(GRU)第85主要特殊服務中心(GTsSS)軍事聯合26165部駭客的代號。FBI和NSA希望透過聯合發出警報,提高美國私營和公共部門的意識,以便IT管理者能夠迅速部署檢測規則和預防措施。
Drovorub - APT28是破解Linux的瑞士軍刀
根據這兩家機構的說法,Drovorub是一個多元件系統,包括一個implant、一個核心模組rootkit、一個檔案傳輸工具、一個port-forwarding模組和一個命令和控制(C2)伺服器。“Drovorub是一把‘瑞士軍刀’,它允許攻擊者執行許多不同的功能,比如竊取檔案和遠端控制受害者的電腦,”McAfee CTO Steve Grobman在一封電子郵件中說。
“除了Drovorub的多種能力之外,它還利用先進的‘rootkit’技術進行隱身設計,使檢測變得困難,”McAfee執行董事補充說。“隱形的元素允許特工在許多不同型別的目標中植入惡意軟體,使攻擊能夠在任何時候進行。”
“美國是一個潛在網路攻擊的目標豐富的環境。Drovorub的目標沒有在報告中提到,但它們可能從工業間諜活動到干預選舉,”格羅布曼說。
“美國國家安全域性和聯邦調查局今天公佈的有關APT28 Drovorub工具集的技術細節,對於美國各地的網路防禦者來說非常有價值。”
為了防止攻擊,建議將任何Linux系統升級到執行核心版本3.7或更高的版本,“以充分利用核心簽名執行,”這一安全特性可以防止APT28駭客安裝Drovorub的rootkit。
聯合安全警報[PDF]包含關於執行波動性、探測檔案隱藏行為、Snort規則和Yara規則的指導——所有這些都有助於部署正確的檢測措施。
FBI和NSA表示,在俄羅斯駭客在不同行動中重用伺服器之後,他們能夠將Drovorub與APT28連結。例如,兩家機構聲稱Drovorub已連線到C&C伺服器,該伺服器以前曾在2019年春季用於針對物聯網裝置的APT28運營。該IP地址先前已由Microsoft記錄在案。