高级黑客团伙APT 28在使用以前不为人知的Drovorub恶意软件。
美国联邦调查局(FBI)和国家安全局(NSA)近日发布了一份联合报告,警告俄罗斯政府黑客在使用一种以前不为人知的Linux恶意软件秘密潜入到敏感网络,窃取机密信息并执行恶意命令。
政府机构发布这样一份技术细节很详尽的报告不同寻常,官员们在报告中表示, Drovorub恶意软件是一套功能完备的工具包,最近才被发现。该恶意软件连接到由一个为俄罗斯军事情报机构格勒乌(GRU)效力的黑客团伙操控的一台指挥和控制服务器,该情报机构与十多年来肆无忌惮的高级攻击活动密切相关,许多攻击活动已对国家安全造成了严重危害。
来自这两个政府机构的官员撰文道:“这份网络安全公告中的信息现已公开披露,旨在帮助国家安全系统的所有者和公众对抗格勒乌的能力。格勒乌这家机构胡作非为,继续对美国及盟国构成威胁,其不法行为包括干扰2016年的美国总统大选,2017年《情报界评估:评估俄罗斯在近期美国选举中的活动和意图》(国家情报局局长办公室,2017年)对此有所描述。”
隐秘、威胁大且功能完备
Drovorub工具集包括四大部分:客户软件,负责感染Linux设备;内核模块,使用rootkit策略以获得持久性,并隐藏起来,不被操作系统和安全防护机制发现;服务器,在攻击者操纵的基础架构上运行,用于控制受感染的机器,并接收窃取而来的数据;以及软件代理,使用受感染的服务器或攻击者控制的机器,充当受感染机器和服务器之间的中介。
rootkit是一种恶意软件,它躲在操作系统内核的深处,同时可以阻止接口发现恶意文件或它们生成的进程。它还采用另外的众多手法,使普通形式的防病毒系统无法察觉感染情况。Drovorub还竭尽全力伪装进出受感染网络的流量。
该恶意软件在拥有不受限制的root特权的情况下运行,从而使操纵者得以全面控制系统。它随带一整套功能,如同恶意软件界的瑞士军刀。
安全驱动程序杀手
美国政府官员们表示,Drovorub这个名称起源于代码中无意留下来的字符串。“Drovo”翻过来大致意思是“木头”或“柴火”,而“rub”翻译起来意为“砍”或“劈”。美国政府称,Drovorub合起来的意思就是“砍柴人”或“劈柴”。安全研究人员Dmitri Alperovitch在其职业生涯中大部分时间都在潜心研究俄罗斯黑客活动,包括2016年攻击民主党全国委员会(DNC)的活动,他却给出了一番不同的解释。
安全公司CrowdStrike的联合创始人兼前首席技术官Alperovitch在Twitter上写道:“回复:恶意软件名称‘Drovorub’,@NSACyber?6?7?6?7指出这个名称直接翻译过来的意思是‘砍柴人’。 不过更重要的是,‘Drova’是俄语中的一个俚语,意为“drivers”,即内核驱动程序中的驱动程序。因此,选择这个名称很可能意指‘(安全)驱动程序杀手’。”
十多年来为俄罗斯的国家利益服务
Drovorub补充了APT 28使用的一大批之前就广为人知的攻击工具和手法,APT 28是俄罗斯军事黑客团伙,其他研究人员称之为Fancy Bear、Strontium、Pawn Storm、Sofacy、Sednit和Tsar Team。该团伙的黑客活动为俄罗斯政府利益服务,专门针对克里姆林宫认为是对手的国家和组织。
微软在去年8月份报告,该黑客团伙一直在攻击打印机、视频解码器及其他所谓的物联网设备,并将这些设备作为跳板,进而潜入到它们所连接的计算机网络。2018年,思科Talos安全小组的研究人员发现APT 28感染了54个国家或地区的50多万只消费级路由器,这些路由器随后被用于从事诸多不法勾当。
与APT 28有关的其他攻击活动包括:
2016年大选前往入侵美国民主党全国委员会(伙同名为Cozy Bear的另一个俄罗斯黑客组织),然后分发破坏性文件以左右选民的意见。
2016年攻击世界反兴奋剂机构。
攻击德国联邦议院。
攻击法国的TV5Monde电视台。
周四的网络安全公告没有列出Drovorub所攻击的组织,甚至也没有笼统描述攻击目标或目标所在的地理位置。公告也没有表明恶意软件在外头肆虐了多久、迄今为止已经感染了多少设备,或者黑客是如何感染服务器的。APT 28常常依赖恶意垃圾邮件或网络钓鱼攻击来感染计算机或窃取密码。该团伙还利用尚未打上补丁的设备上的漏洞。
必读的公告
美国政府官员表示,针对Drovorub的一项主要防御措施是确保安装了所有安全更新。公告还敦促服务器至少运行Linux内核版本3.7或更高版本,以便组织可以使用经过改进的代码签名保护机制,这种保护机制使用加密证书来确保应用程序、驱动程序或模块来自已知的可信任来源,而且没有被其他任何人篡改。
公告声称:“此外,建议系统所有者配置系统,仅加载拥有有效数字签名的模块,从而使威胁分子更难将恶意内核模块植入到系统中。”
公告还附有一些规则,网络管理员可以将这些规则添加到Yara和Snort入侵检测系统中,以捕获和终止进出控制服务器的网络流量,或者标记已经在服务器上运行的迷惑性的Drovorub文件或进程。
这份长达45页的报告给出了相当程度的技术细节和冷静分析,足以与私营公司的一些最佳研究报告相提并论。该公告还率先披露了存在这种新型的高级恶意软件。这些都是政府公告中很少披露的内容,任何网络管理人员都应该阅读这份报告。
