FBI i NSA udostępnia poradnik jak chronić się przed rosyjskimi hakerami i atakami na Linuxa

45-stronnicowa analiza techniczna krok po kroku wyjaśnia budowę malware Drovorub, które jest używane do atakowania systemów Linux. W podsumowaniu znajdują się wskazówki dotyczące wykrywania tego szkodliwego oprogramowania w zainfekowanych systemach, oraz ogólne zalecenia dotyczące łagodzenia skutków cyberataku.

FBI i NSA ostrzegają przed malware Drovorub

Drovorub to zestaw narzędzi do kontrolowania systemów Linux. Arsenał składa się z modułu klienckiego, instalowanego na zainfekowanych maszynach, oraz centralnego serwera sterującego. Jeżeli hakerom uda się przeniknąć do sieci i przejąć kontrolę nad stacją roboczą, to uzyskają spore możliwości eskalowania ataku:

• Malware może komunikować się z infrastrukturą kontrolowaną przez hakerów.
• Może pobierać i wysyłać pliki.
• Umożliwia wykonywania dowolnych poleceń z uprawnieniami root.
• Potrafi przekierować ruch sieciowy do innych hostów w sieci.
• Dysponuje szeregiem technik ukrywania się w systemie.

Jako obronę przed Drovorub zaleca się zaktualizowanie kernela do wersji co najmniej 3.7 i skonfigurowanie systemów tak, aby ładowały moduły wyłącznie z ważnym podpisem cyfrowym (utrudni to wprowadzenie złośliwego kodu do systemu, ale nie wyeliminuje całkowicie zagrożenia).

FBI zapewnia, że informacje zawarte w niniejszym poradniku zostały ujawnione publicznie, aby pomóc operatorom krajowych systemów bezpieczeństwa, prywatnym podmiotom oraz opinii publicznej, przeciwdziałać rosyjskim hakerom, którzy zagrażają USA i sojusznikom.

Plik PDF z analizą Drovorub i poradami dostępny jest pod tym linkiem.