El FBI y la NSA han publicado un informe conjunto advirtiendo que los hackers estatales rusos están usando malware previamente desconocido Software Linux para ingresar a redes confidenciales, robar información confidencial y ejecutar comandos maliciosos.

En un informe de una agencia gubernamental que es inusual por la profundidad de los detalles técnicos, los funcionarios dijeron que el malware Drovorub es un conjunto completo de herramientas que hasta hace poco pasó desapercibido. El malware se conecta a servidores de control administrados por el grupo de hackers Fancy Bear (APT28), que la NSA cree que está compuesto por oficiales de GRU.

La caja de herramientas Drovorub tiene cuatro componentes principales:

  • cliente que infecta dispositivos Linux;
  • módulo de kernel que utiliza tácticas de rootkit para lograr resiliencia y ocultar su presencia a los sistemas operativos y defensas;
  • Un servidor que se ejecuta en una infraestructura controlada por el atacante para administrar las máquinas infectadas y recuperar los datos robados;
  • Un agente que utiliza servidores comprometidos o máquinas controladas por atacantes para actuar como intermediario entre las máquinas infectadas y los servidores.

El malware se ejecuta con privilegios de root ilimitados, lo que brinda a los operadores un control total sobre el sistema. Los archivos maliciosos y los procesos que generan no se registran en el sistema. Drovorub también hace todo lo posible para enmascarar el tráfico que entra y sale de la red infectada.

Para evitar infecciones, se recomienda utilizar la verificación obligatoria de las firmas del kernel y del módulo, que está disponible a partir de la versión del kernel de linux 3.7.

Cosa tonta, pero es una obra maestra 👏🏻

Importante, el informe no indica cómo los servicios de inteligencia estadounidenses descubrieron que era la inteligencia militar rusa la que estaba detrás de su creación. Solo se menciona que Drovorub pudo haber tenido el mismo autor que otros programas creados por hackers (Fancy Bear, APT 28 y Strontium).

No podemos saber si es verdad o la NSA y el FBI se están quedando sin presupuestos de ciberseguridad, por lo que encontraron un nuevo virus, supuestamente de Rusia.