ФБР и АНБ обнаружили Linux-малварь Drovorub, якобы созданную российскими спецслужбами

[INC.]

Главное разведывательное управление Генерального штаба России создало программу «Дроворуб», предназначенную для кибер-шпионажа, заявило 13 августа Агенство Национальной безопасности Соединенных Штатов (АНБ), разместив соответствующее заявление на своем сайте.

По словам АНБ, «Дроворуб» — это «набор вредоносных инструментов Linux, состоящий из имплантата, соединенного с модулем ядра rootkit, инструмента передачи файлов и переадресации портов, а также сервера команд и управления (C2). При развертывании на машине-жертве Drovorub обеспечивает возможность прямой связи с контролируемой актором инфраструктурой C2; возможность обеспечения загрузки и выгрузки файлов; выполнения произвольных команд; перенаправление сетевого трафика на другие узлы сети; и реализации методов скрытия, чтобы избежать обнаружения».

Как заявило АНБ в своем заявлении, изготовителями программы — шпиона являются «Главное разведывательное управление Генерального штаба России (ГРУ) 85-й Главный Центр специального обслуживания (Гцссс) воинская часть 26165, деятельность которой иногда идентифицируется частным сектором как Fancy Bear, Strontium или APT 28».

АНБ совместно с ФБР даже выработали рекомендации для противодействия этой программе и разослали их в частные компании.

Напомним, власти России неоднократно заявляли об абсурдности постоянно возникающих в Соединенных Штатах обвинений России в проведении кибер-войны и кибер-шпионажа.

Одно из последних таких обвинений, по отношению к которому в США даже проводилось сенатское расследование, было обвинение России в фальсификации результатов президентских выборов в США.

• Source: hххps://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

• Source: nsa.gov/Portals/70/documents/resources/cybersecurity-professionals/DROVORUB-Fact%20sheet%20and%20FAQs.pdf?ver=2020-08-13-114246-203

 

[INC.]

Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб». В состав «Дроворуба» входят руткит в виде модуля ядра Linux, инструмент для пересылки файлов и перенаправления сетевых портов и управляющий сервер. Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.

Управляющий центр «Дроворуба» аргументом командной строки получает путь к конфигурационному файлу в формате JSON:

{
      "db_host"       : "<DB_IP_ADDR>",
      "db_port"       : "<DB_PORT>",
      "db_db"         : "<DB_NAME>",
      "db_user"       : "<DB_USER>",
      "db_password"   : "<DB_PASS>",

      "lport"         : "<LPORT>",
      "lhost"         : "<LHOST>",
      "ping_sec"      : "<SEC>",

      "priv_key_file" : "<PRIVATE_KEY_FILE>",
      "phrase"        : "<PHRASE>"
}

В качестве бекенда используется СУБД MySQL. Для подключения клиентов используется протокол WebSocket.

Клиент имеет встроенную конфигурацию, в том числе URL сервера, его публичный ключ RSA, имя пользователя и пароль. После установки руткита конфигурация сохраняется в виде текстового файла в формате JSON, который скрывается от системы модулем ядра «Дроворуба»:

{
      "id" : "cbcf6abc-466b-11e9-853b-000c29cb9f6f",
      "key": "Y2xpZW50a2V5"
}

Здесь "id" — уникальный идентификатор, выданный сервером, в котором последние 48 бит соответствуют MAC-адресу сетевого интерфейса сервера. Параметр "key" по умолчанию — закодированная в формате base64 строка "clientkey", которая используется сервером при первичном рукопожатии. Кроме этого, конфигурационный файл может содержать информацию о скрываемых файлах, модулях и сетевых портах:

{
      "id" : "6fa41616-aff1-11ea-acd5-000c29283bbc",
      "key": "Y2xpZW50a2V5",
      "monitor" : {
            "file" : [
                  {
                        "active" : "true",
                        "id" : "d9dc492b-5a32-8e5f-0724-845aa13fff98",
                        "mask" : "testfile1"
                  }
            ],
            "module" : [
                  {
                        "active" : "true",
                        "id" : "48a5e9d0-74c7-cc17-2966-0ea17a1d997a",
                        "mask" : "testmodule1"
                  }
            ],
            "net" : [
                  {
                        "active" : "true",
                        "id" : "4f355d5d-9753-76c7-161e-7ef051654a2b",
                        "port" : "12345",
                        "protocol" : "tcp"
                  }
            ]
      }
}

Ещё один компонент «Дроворуба» — агент, его конфигурационный файл содержит информацию для подключения к серверу:

{
      "client_login"     : "user123",
      "client_pass"      : "pass4567",
      "clientid"         : "e391847c-bae7-11ea-b4bc-000c29130b71",
      "clientkey_base64" : "Y2xpZW50a2V5",
      "pub_key_file"     :"public_key",
      "server_host"      : "192.168.57.100",
      "server_port"      :"45122",
      "server_uri"       :"/ws"
}

Поля "clientid" и "clientkey_base64" изначально отсутствуют, они добавляются после первичной регистрации на сервере.

После установки выполняются следующие операции:

* загружается модуль ядра, который регистрирует хуки для системных вызовов;

* клиент выполняет регистрацию в модуле ядра;

* модуль ядра скрывает работающий процесс клиента и его исполняемый файл на диске.

Для взаимодействия клиента с модулем ядра используется псевдостройство, например /dev/zero. Модуль ядра выполняет разбор всех записываемых в устройство данных, а для передачи в обратном направлении посылает клиенту сигнал SIGUSR1, после чего тот считывает данные из этого же устройства.

Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами). В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла:

   touch testfile
   echo “ASDFZXCV:hf:testfile” > /dev/zero
   ls

Созданный файл "testfile" при этом становится невидимым.

Другие методы обнаружения включают анализ памяти и содержимого диска. Для предотвращения заражения рекомендуется использовать обязательную проверку подписи ядра и модулей, доступную начиная с версии ядра linux 3.7.

В отчёте содержатся правила Snort для обнаружения сетевой активности «Дроворуба» и правила Yara для детектирования его компонентов. Информации о наличии ебилдов пока нет.

Напомним, что 85 ГЦСС ГРУ (в/ч 26165) ассоциируется с группой APT28 (Fancy Bear), ответственной за многочисленные кибератаки.

 

[ppp]

Представляю себе удивление кучки молодых людей, запиливших эту поделку, когда утром, проснувшись от очередной попойки, прочли в новостях что они, оказывается, сотрудники ГРУ.

ps - отчет прикретите для полноты картины.

 

[INC.]

линк в первом посте на отчёт

 

[DildoFagins]

Представляю себе удивление кучки молодых людей, запиливших эту поделку, когда утром, проснувшись от очередной попойки, прочли в новостях что

Мне на самом деле всегда было интересно, как они (всякие анбшники) всегда с такой уверенностью заявляют о принадлежного той или иной всратой малвари к русским спец службам? Неужели наши русские спец службы такие лажовые, что никогда не трут за собой следы, не осилили осинт и тд? Как то даже обидно за державу. А вообще:

 

[w00du]

слишком подробный отчет о данной малвари такое ощущение либо утечка прошла либо они сами его запилили

 

[kasual63]

Неужели наши русские спец службы такие лажовые, что никогда не трут за собой следы

Yep,или по крайней мере складывается такое ощущение
Фенси те же спалились во всех операциях

 

[corax]

Информации о наличии ебилдов пока нет.

Ждём! ?

 

[DildoFagins]

[deleted]

 

[whitetiger]

Представляю себе удивление кучки молодых людей, запиливших эту поделку, когда утром, проснувшись от очередной попойки, прочли в новостях что они, оказывается, сотрудники ГРУ.

ps - отчет прикретите для полноты картины.

линуксовые малвари не так много кто пишет, они чаще целевые чем на лоха.