La NSA y el FBI revelan nuevo software package malicioso de ciberespionaje ruso



APT 28, también conocido como Extravagant Bear, está implementando el malware Drovorub diseñado para sistemas Linux como parte de las operaciones de ciberespionaje.

La Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) publicaron hoy un nuevo aviso de seguridad que detalla malware ruso previamente desconocido. APT28, también conocido como Fancy Bear o Sofacy, está utilizando el llamado malware Drovorub en operaciones de ciberespionaje.

Sus notas de advertencia estos nombres de grupo son términos del sector privado para la unidad militar 26165 del Centro de Servicios Especiales Principal GRU 85 de Rusia, que ahora está implementando el malware de Linux contra las víctimas. Los funcionarios advierten que esto representa una amenaza porque los sistemas Linux se «utilizan de manera generalizada» en los sistemas de seguridad nacional, el Departamento de Defensa y la Foundation Industrial de Defensa.

Drovorub es un conjunto de herramientas que contiene un implante junto con un rootkit del módulo del kernel, una herramienta de transferencia de archivos y reenvío de puertos y un servidor de comando y command. Cuando se implementa en una máquina víctima, el malware permite la comunicación directa con el servidor C2 controlado por el atacante, las capacidades de descarga y carga de archivos, la ejecución de comandos arbitrarios, el reenvío de puertos del tráfico de red a otros hosts en la crimson y técnicas para evadir la detección.

Los funcionarios proporcionan técnicas de detección para detectar el malware Drovorub sin embargo, señalan que el módulo Drovorub-kernel es un desafío para la detección a gran escala en el host porque oculta los artefactos Drovorub de las herramientas utilizadas para la respuesta en vivo a escala. Las empresas pueden utilizar la inspección de paquetes en los límites de la pink para detectar el malware en las redes, dicen. Los métodos basados ​​en host incluyen sondeo, herramientas de seguridad, respuesta en vivo, análisis de memoria y análisis de medios.

Se anima a los administradores a actualizar a Linux Kernel 3.7 o posterior para evitar que un sistema sea inclined al ocultamiento y la persistencia de Drovorub. Se recomienda a los propietarios de sistemas que configuren los sistemas para que solo carguen módulos con una firma electronic válida, por lo que es más difícil para los actores ingresar.

Lea más detalles en el lanzamiento y lleno aviso de seguridad.

Rapid Hits de Dim Studying ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique