Orosz APT által alkalmazott linuxos malware-re figyelmeztet az FBI és az NSA

 

Az FBI és az NSA közös elemzést adtak ki a Drovorub (magyar fordításban nagyjából “favágó”) névre keresztelt káros kódról, amelyet a hírhedt Fancy Bear (APT28) orosz állami hacker csoporthoz kötnek. Drovorub alatt egy eszközkészlet értendő, amelynek része egy kernel rootkit, egy fájl-átviteli modul, egy port frowarding modul, valamint egy vezérlőszerver (C2). Az amerikai ügynökségek Linux adminok számára javasolják a 3.7, vagy ennél frissebb kernel verzióra történő frissítést, amely már védett a káros kód rootkit moduljával szemben. Az elemzés fertőzésre utaló indikátorokat, Snort és Yara szabályokat is tartalmaz, amelyek segítségével detektálható a fertőzés. Emellett javaslatot tesz a Volatility nevű, memória forensic tool alkalmazására.

(securityaffairs.co)