Drovorub

A National Security Agency (NSA) e o Federal Bureau of Investigation (FBI) divulgaram um comunicado de cibersegurança extremamente técnico que detalha as funções de uma ferramenta de malware russa anteriormente não divulgada chamada Drovorub. Esta potente ameaça de malware é parte do arsenal empregado pela unidade militar 26165 do 85º Centro de Serviços Especiais (GTsSS) da Diretoria de Inteligência Principal do Estado-Maior Russo (GRU). As atividades desse grupo específico de hackers foram documentadas e observadas pelos especialistas em segurança cibernética por mais de uma década. Ao longo desse tempo, o grupo conseguiu acumular um número considerável de nomes, dos quais os mais populares são Fancy Bear ou APT28. Alguns dos outros nomes incluem Strontium, Sednit, Pawn Storm, Tsar e Team Sofacy.

Por ser um grupo de hackers militares russos, fica óbvio que as suas campanhas de ataque foram realizadas de acordo com os interesses e a agenda russa. Entre as campanhas atribuídas ao APT28 está o hack DNC de 2016 durante as eleições presidenciais dos EUA, que infectou mais de 500.000 roteadores espalhados por 54 países que foram descobertos pelo grupo Talos da Cisco.

A Microsoft avisou que o APT28 está comprometendo os dispositivos IoT (Internet of Things) e os usando como um portal para as redes às quais estão conectados.

O Drovorub Assume Controle Total sobre o Sistema Visado

Quanto a essa ferramenta de malware em particular, o seu nome, Drovorub, vem de strings que foram deixadas para trás no código. De acordo com o relatório consultivo, "Drovo" significa "madeira" em russo, enquanto "rub" pode ser traduzido aproximadamente como "cortar", resultando em "Lenhador" traduzindo-se o nome desse malware para o inglês. Uma alternativa poderia ser "Driver Killer (Segurança)", derivado da gíria russa para motoristas, "Drova".

O Drovorub consiste em quatro componentes: um implante que pode infectar sistemas baseados em Linux, um módulo de kernel que tem recursos completos de rootkit, uma ferramenta para transferência de arquivos e encaminhamento de porta e um servidor de Comando e Controle (C2) sob o controle dos hackers. Depois de se infiltrar no computador da vítima, o Drovorub dá aos atacantes acesso total. Eles podem baixar arquivos adicionais, exfiltrar dados confidenciais e executar comandos no sistema graças à conexão direta com a infraestrutura C2 controlada pelos hackers estabelecidos pelo Drovorub.

A NSA e o FBI Alertam Organizações para Tomarem Precauções

No comunicado, as agências oferecem diretrizes específicas que organizações privadas podem implementar para reduzir o risco de infecção pelo Drovorub. No mínimo, os servidores devem usar o kernel Linux versão 3.7 ou posterior devido às proteções de assinatura aprimoradas de código. Estão incluídas regras que permitirão que os administradores de rede se conectem aos sistemas de detecção de intrusão Yara ou Snort. Ao fazer isso, eles podem monitorar o tráfego de rede e sinalizar qualquer um dos arquivos e processos Drovorub ofuscados que já podem estar presentes no servidor.