El FBI y la NSA publicaron un informe sobre el malware con sede en Rusia que ataca a Linux conocido como Drovorub (PDF) y es una lectura interesante. Drovorub usa un rootkit de módulo del kernel y permite que un atacante remoto controle su computadora, transfiera archivos y reenvíe puertos. Y el módulo del kernel toma medidas extraordinarias para evitar la detección mientras lo hace.
AntilavadoDeDinero / Hackday
Sin embargo, lo que quizás sea más interesante es que las agencias hicieron el trabajo preliminar para rastrear el malware hasta su fuente: el GRU, inteligencia rusa. El nombre Drovorub se traduce como “leñador” y aparentemente es el nombre que GRU usa para el programa.
Una mirada dentro del código muestra que es bastante mundano. Hay un servidor con un archivo de configuración JSON y un backend MySQL. Se parece a cualquier otro código de variedad de jardín. Para arrancar el cliente, una configuración codificada permite que el programa se ponga en contacto con el servidor y luego crea un archivo de configuración que el módulo del kernel oculta activamente. Curiosamente, parte de la configuración es un UUID que contiene la dirección MAC de la computadora servidor.
El rootkit no persistirá si tiene el arranque UEFI totalmente habilitado (aunque muchas computadoras Linux desactivan la firma UEFI en lugar de seguir los pasos para instalar un sistema operativo con él habilitado ). El malware es fácil de detectar si descarga información sin procesar de la red, pero el módulo del kernel hace que sea difícil de encontrar en la máquina local.
Engancha muchas funciones del kernel para poder ocultar procesos tanto del pscomando como del sistema de archivos / proc. Otros ganchos eliminan los nombres de los archivos de las listas de directorios y también ocultan los sockets. El documento describe cómo identificar el malware y están especialmente interesados en la detección a escala; es decir, si tiene 1000 PC con Linux en una red, ¿cómo puede encontrar cuáles tienen esta infección?
Esta es una historia de espías moderna, pero no es exactamente lo que esperamos de las películas de Bond. “Bueno, Moneypenny, parece que Spectre está usando la biblioteca POCO para generar UUID”, es difícil trabajar en un avance. Preferimos los viejos tiempos cuando el espionaje de alta tecnología significaba detectores de uniones no lineales , piratería Selectrics , atracos de sondas lunares y escuchas pasivas .
