NSA、FBI警告俄羅斯發動Linux惡意程式Drovorub攻擊政府及國防單位

美國國安局（NSA）及聯邦調查局（FBI）昨（13）日發布聯合網路安全公告，警告俄羅斯情報機關正以名為Drovorub的Linux惡意程式，攻擊政府及國防工業用Linux系統。

發動攻擊的是隷屬於俄羅斯情報總局（GRU）85主要特勤中心（GTsSS）的軍事單位26165，一般又被稱為Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美國民主黨伺服器竊取川普陣營資料、以釣魚網站干擾2018年期中選舉、及攻擊運動及反禁藥組織。

NSA及FBI指出，這波間諜行動使用的Drovorub是一組Linux工具，包含植入載體（implant）、核心模組rootkit、檔案傳輸與傳輸埠轉送（port forwarding）工具及C&C伺服器。一旦部署到目標系統中，Drovorub植入用戶端載體可能從事多種行動，包括和駭客控制的外部C&C伺服器建立通訊、下載和上傳系統檔案、以及以根權限執行任意程式碼，還能利用傳輸埠轉送功能，將網路流量傳到同一網路上的其他主機上。

另外，報告還提醒，Drovorub核心的rootkit模組，也會利用多種手法以長期隱身於受害主機上。除非機器UEFI Secure Boot安全開機功能啟用「完整」或「徹底」模式，否則即使主機重新開機也不會被刪除。依據其多種功能，安全廠商McAfee 專家稱其為駭入Linux 系統的「瑞士小刀」。

這項安全公報並未說明美國政府是否已有單位受害，但NSA及FBI指出，Drovorub已對使用Linux系統的美國國安系統、國土安全部、生產軍隊設備的國防工業基地構成威脅。

本公告也呼籲網路及系統管理員採取防禦措施，包括升級到最新版Linux 3.7版核心，以符合核心簽章安全措施。此外，系統也應啟動UEFI Secure Boot，以防系統載入惡意核心模組。