[新闻] NSA、FBI警告俄罗斯发动Linux恶意程式Dro

楼主: cangming (苍冥)   2020-08-14 13:21:13
标题:
NSA、FBI警告俄罗斯发动Linux恶意程式Drovorub攻击政府及国防单位
新闻来源: (须有正确连结)
https://www.ithome.com.tw/news/139403
新闻
NSA、FBI警告俄罗斯发动Linux恶意程式Drovorub攻击政府及国防单位
美国国安局及联邦调查局发布安全公告,指出俄罗斯情报机关以名为Drovorub的Linux恶意程式,攻击政府及国防单位使用的Linux系统
按赞加入iThome粉丝团
文/林妍溱|2020-08-14发表
NSA及FBI指出,这波间谍行动使用的Drovorub是一组Linux工具,一旦部署到目标系统中,Drovorub植入用户端载体可能从事多种行动,包括和骇客控制的外部C&C服务器建立通讯、下载和上传系统档案。(图片来源/https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF)
美国国安局(NSA)及联邦调查局(FBI)昨(13)日发布联合网络安全公告,警告俄罗斯情报机关正以名为Drovorub的Linux恶意程式,攻击政府及国防工业用Linux系统。
发动攻击的是隷属于俄罗斯情报总局(GRU)85主要特勤中心(GTsSS)的军事单位26165,一般又被称为Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美国民主党服务器窃取川普阵营资料、以钓鱼网站干扰2018年期中选举、及攻击运动及反禁药组织。
NSA及FBI指出,这波间谍行动使用的Drovorub是一组Linux工具,包含植入载体(implant)、核心模组rootkit、档案传输与传输埠转送(port forwarding)工具及C&C服务器。一旦部署到目标系统中,Drovorub植入用户端载体可能从事多种行动,包括和骇客控制的外部C&C服务器建立通讯、下载和上传系统档案、以及以根权限执行任意程式码,还能利用传输埠转送功能,将网络流量传到同一网络上的其他主机上。
另外,报告还提醒,Drovorub核心的rootkit模组,也会利用多种手法以长期隐身于受害主机上。除非机器UEFI Secure Boot安全开机功能启用“完整”或“彻底”模式,否则即使主机重新开机也不会被删除。依据其多种功能,安全厂商McAfee 专家称其为骇入Linux 系统的“瑞士小刀”。
这项安全公报并未说明美国政府是否已有单位受害,但NSA及FBI指出,Drovorub已对使用Linux系统的美国国安系统、国土安全部、生产军队设备的国防工业基地构成威胁。
本公告也呼吁网络及系统管理员采取防御措施,包括升级到最新版Linux 3.7版核心,以符合核心签章安全措施。此外,系统也应启动UEFI Secure Boot,以防系统加载恶意核心模组。
※每日每人发文、上限量为十篇,超过会劣文请注意
⊕标题选用"新闻",请确切在标题与新闻来源处填入,否则可无条件移除(本行可移除)

Links booklink

Contact Us: admin [ a t ] ucptt.com