Posté le août 14, 2020 à 16:29
LES AGENCES DE SÉCURITÉ AMÉRICAINES METTENT EN GARDE CONTRE LE NOUVEAU LOGICIEL MALVEILLANT RUSSE DROVORUB POUR LINUX
La NSA et le FBI ont conjointement émis une notification contenant des détails techniques sur le logiciel malveillant Linux développé et déployé par les hackers militaires russes. Les deux agences ont révélé que les hackers russes ont installé des portes dérobées à l’intérieur des réseaux piratés en utilisant la souche de logiciel malveillant appelée Drovorub.
Selon les preuves fournies par les deux agences concernant l’attaque, les responsables de la NSA et du FBI affirment que le logiciel malveillant a été développé et déployé par APT28, qui est un nom de code pour les hackers opérant à partir de la direction principale du renseignement (GRU) de l’état-major général russe.
Grâce à l’alerte conjointe, les agences espèrent accroître le niveau de sensibilisation des secteurs privé et public américains au logiciel malveillant. Grâce à cette prise de conscience, les services informatiques peuvent rapidement mettre en place des règles de détection pour prévenir les attaques.
D’après le rapport des deux agences, Drovorub est un système à plusieurs composants qui possède un serveur de commande et de contrôle, un module de transfert de port, un outil de transfert de fichiers, un rootkit de module de noyau et un implant.
Steve Grobman, le directeur de la technologie de McAfee, a révélé que le logiciel malveillant Drovorub est capable d’effectuer plusieurs actions, dont le contrôle à distance du système de la victime.
« L’élément de furtivité permet aux agents d’implanter le logiciel malveillant dans différents types de cibles, ce qui permet une attaque à tout moment », a-t-il répété.
M. Grobman a en outre révélé que les États-Unis sont une cible importante pour les cyber-attaques potentielles. L’objectif principal du logiciel malveillant Drovorub n’a pas été révélé dans le rapport, mais il pourrait inclure l’interférence de l’électorat et l’espionnage industriel, dit Grobman.
Prévention des attaques
Les deux agences ont recommandé aux organisations des moyens de prévenir de telles attaques sur leurs systèmes. Pour prévenir les attaques, elles ont recommandé aux organisations américaines de mettre rapidement à jour leurs systèmes Linux avec une version récente qui fonctionne avec la version 3.7 ou même une version plus récente.
Cela aidera les organisations à tirer pleinement parti de l’application de la signature du noyau. Selon l’avis, le dispositif de sécurité aidera à tenir les hackers de l’APT8 à distance, les empêchant d’installer la recrue de Drovorub.
L’alerte de sécurité offre également des conseils sur l’exécution de Volatility, la vérification des règles de Yara, les règles de Snort et la recherche de comportements de dissimulation de fichiers.
Le nom Drovorub est utilisé pour le logiciel malveillant APT28, qui n’a pas été donné par le FBI ou la NSA. Le nom est dérivé de drovo, qui signifie « bois » ou « bois de chauffage » et de rub, qui signifie « couper » ou « dire ».
La NSA et le FBI ont déclaré avoir connecté Drovorub à APT 28 après que les hackers russes aient utilisé les mêmes hackers pour différentes opérations. Par exemple, les deux agences ont indiqué que le logiciel malveillant était connecté à un serveur C&C utilisé initialement pour les opérations d’APT28 qui ciblent les appareils IdO l’année dernière. Microsoft avait auparavant documenté l’adresse IP utilisée par les hackers.
L’alerte était nécessaire pour susciter une prise de conscience
Bien que l’alerte n’inclue pas de détails spécifiques sur les victimes de Drovorub, les agences disent que l’alerte était nécessaire pour créer une prise de conscience sur les hackers russes sponsorisés par l’Etat et leurs activités opérationnelles autour des gouvernements et des grandes entreprises.
Cette révélation intervient quelques mois seulement avant que les Américains ne se rendent aux urnes pour l’élection présidentielle.
Comme l’ont indiqué les agences, les informations contenues dans l’avis ont pour but d’aider les propriétaires du système de sécurité nationale et le public à prendre des contre-mesures et à empêcher l’infiltration de leurs systèmes par les hackers russes.
Le GRU a été considéré comme une organisation de piratage informatique qui a continué à menacer les organisations américaines, notamment lors de l’interférence de l’élection présidentielle américaine il y a quatre ans. Les agences ont indiqué que ce même groupe, responsable de l’attaque bâclée contre les élections américaines en 2016, pourrait tenter de répéter la même action à l’approche de l’élection présidentielle de 2020.
Selon l’évaluation de la communauté des services de renseignement américains, plusieurs gouvernements étrangers pourraient vouloir compromettre l’infrastructure électorale américaine pour différentes raisons. Mais ce qui n’est pas clair, c’est si les hackers russes utilisaient le logiciel malveillant Drovorub pour perturber les efforts électoraux.