NSA及FBI指出,這波間諜行動使用的Drovorub是一組Linux工具,一旦部署到目標系統中,Drovorub植入用戶端載體可能從事多種行動,包括和駭客控制的外部C&C伺服器建立通訊、下載和上傳系統檔案。(圖片來源/https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF)

美國國安局(NSA)及聯邦調查局(FBI)昨(13)日發布聯合網路安全公告,警告俄羅斯情報機關正以名為Drovorub的Linux惡意程式,攻擊政府及國防工業用Linux系統。

發動攻擊的是隷屬於俄羅斯情報總局(GRU)85主要特勤中心(GTsSS)的軍事單位26165,一般又被稱為Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美國民主黨伺服器竊取川普陣營資料、以釣魚網站干擾2018年期中選舉、及攻擊運動及反禁藥組織

NSA及FBI指出,這波間諜行動使用的Drovorub是一組Linux工具,包含植入載體(implant)、核心模組rootkit、檔案傳輸與傳輸埠轉送(port forwarding)工具及C&C伺服器。一旦部署到目標系統中,Drovorub植入用戶端載體可能從事多種行動,包括和駭客控制的外部C&C伺服器建立通訊、下載和上傳系統檔案、以及以根權限執行任意程式碼,還能利用傳輸埠轉送功能,將網路流量傳到同一網路上的其他主機上。

另外,報告還提醒,Drovorub核心的rootkit模組,也會利用多種手法以長期隱身於受害主機上。除非機器UEFI Secure Boot安全開機功能啟用「完整」或「徹底」模式,否則即使主機重新開機也不會被刪除。依據其多種功能,安全廠商McAfee 專家稱其為駭入Linux 系統的「瑞士小刀」。

這項安全公報並未說明美國政府是否已有單位受害,但NSA及FBI指出,Drovorub已對使用Linux系統的美國國安系統、國土安全部、生產軍隊設備的國防工業基地構成威脅。

本公告也呼籲網路及系統管理員採取防禦措施,包括升級到最新版Linux 3.7版核心,以符合核心簽章安全措施。此外,系統也應啟動UEFI Secure Boot,以防系統載入惡意核心模組。


熱門新聞

Advertisement