标题:
NSA、FBI警告俄罗斯发动Linux恶意程式Drovorub攻击政府及国防单位
新闻来源: (须有正确连结)
https://www.ithome.com.tw/news/139403
新闻
NSA、FBI警告俄罗斯发动Linux恶意程式Drovorub攻击政府及国防单位
美国国安局及联邦调查局发布安全公告，指出俄罗斯情报机关以名为Drovorub的Linux恶意程式，攻击政府及国防单位使用的Linux系统
按赞加入iThome粉丝团
文/林妍溱|2020-08-14发表
NSA及FBI指出，这波间谍行动使用的Drovorub是一组Linux工具，一旦部署到目标系统中，Drovorub植入用户端载体可能从事多种行动，包括和骇客控制的外部C&C服务器建立通讯、下载和上传系统档案。（图片来源／https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF）
美国国安局（NSA）及联邦调查局（FBI）昨（13）日发布联合网络安全公告，警告俄罗斯情报机关正以名为Drovorub的Linux恶意程式，攻击政府及国防工业用Linux系统。
发动攻击的是隷属于俄罗斯情报总局（GRU）85主要特勤中心（GTsSS）的军事单位26165，一般又被称为Fancy Bear、Strontium以及APT 28。Fancy Bear被指控曾在2016年入侵美国民主党服务器窃取川普阵营资料、以钓鱼网站干扰2018年期中选举、及攻击运动及反禁药组织。
NSA及FBI指出，这波间谍行动使用的Drovorub是一组Linux工具，包含植入载体（implant）、核心模组rootkit、档案传输与传输埠转送（port forwarding）工具及C&C服务器。一旦部署到目标系统中，Drovorub植入用户端载体可能从事多种行动，包括和骇客控制的外部C&C服务器建立通讯、下载和上传系统档案、以及以根权限执行任意程式码，还能利用传输埠转送功能，将网络流量传到同一网络上的其他主机上。
另外，报告还提醒，Drovorub核心的rootkit模组，也会利用多种手法以长期隐身于受害主机上。除非机器UEFI Secure Boot安全开机功能启用“完整”或“彻底”模式，否则即使主机重新开机也不会被删除。依据其多种功能，安全厂商McAfee 专家称其为骇入Linux 系统的“瑞士小刀”。
这项安全公报并未说明美国政府是否已有单位受害，但NSA及FBI指出，Drovorub已对使用Linux系统的美国国安系统、国土安全部、生产军队设备的国防工业基地构成威胁。
本公告也呼吁网络及系统管理员采取防御措施，包括升级到最新版Linux 3.7版核心，以符合核心签章安全措施。此外，系统也应启动UEFI Secure Boot，以防系统加载恶意核心模组。
※每日每人发文、上限量为十篇，超过会劣文请注意
⊕标题选用"新闻"，请确切在标题与新闻来源处填入，否则可无条件移除(本行可移除)