USA pedem usuários Linux para proteger os kernels de nova ameaça de malware russo

Os usuários do Linux não devem presumir que estão protegidos das ambições e do alcance do renomado grupo de hackers russo Fancy Bear , que tem usado um conjunto de ferramentas de malware recém-divulgado para estabelecer uma conexão de comando e controle com sistemas Linux infectados.

Chamado de Drovorub, o conjunto de ferramentas essencialmente cria um backdoor que permite downloads e uploads de arquivos, a execução de comandos arbitrários como root e o encaminhamento de tráfego de rede para hosts adicionais na rede, alertaram o FBI e a Agência de Segurança Nacional na semana passada em um cibersegurança assessoria , comunicado à imprensa e ficha informativa . O comunicado descreve o malware como um “implante acoplado a um rootkit de módulo de kernel”, aprimorado com componentes e módulos adicionais.

Não deveria ser uma surpresa que os invasores de estado-nação estejam desenvolvendo novas armas furtivas projetadas para comprometer os sistemas operacionais Linux, que executam servidores, supercomputadores e litania de dispositivos IoT encontrados em casa e no local de trabalho. Ainda assim, às vezes é fácil para os usuários do Linux baixarem a guarda, pensando que o Windows continua sendo o alvo principal.

“Manter um sistema atualizado e totalmente protegido não é específico para ambientes baseados em Windows”, disse a equipe de inteligência operacional ATR da McAfee em um blog da empresa  . “Os sistemas baseados em Linux são difundidos em muitas organizações empresariais, geralmente operando fora da visibilidade direta dos administradores de sistema. Em parte devido a essa baixa visibilidade, os atores de ameaças adotam o Linux Stack como um esconderijo ideal e ponto de partida para o movimento lateral. Isso torna a manutenção desses ambientes atualizados e seguros uma alta prioridade. ”

Com isso em mente, o FBI e a NSA aconselharam que os usuários do Linux atualizassem para o Linux Kernel 3.7 ou posterior “para aproveitar ao máximo a aplicação de assinatura do kernel” e também para ativar o UEFI Secure Boot e “configurar os sistemas para carregar apenas módulos com uma assinatura digital válida, tornando mais difícil para um ator introduzir um módulo de kernel malicioso no sistema. ”

A versão mais recente do Linux a ser lançada é a 5.8.1.

“É importante observar que este kernel Linux – 3.7 – foi retirado em março de 2013. Se você está mantendo suas distribuições Linux atualizadas, então você deve ser poupado de quaisquer problemas”, disse Rosa Smothers, vice-presidente sênior de operações cibernéticas da KnowBe4. “Minha principal preocupação são todos os sistemas embarcados que usam esses kernels mais antigos; Suspeito que haja muitos por aí que permanecem desaparecidos, portanto, vulneráveis. ” Exemplos de tais sistemas embarcados podem ser roteadores ou tecnologia de casa inteligente.

“Se você já corrige e protege seus sistemas, isso não deve ser nada mais do que um anúncio para manter os olhos abertos. Se não o fizer, é hora de mudar suas práticas ”, disse Robert Meyers, arquiteto de soluções de canal da One Identity.

Mas significa que você tem que motivar e mobilizar os usuários do Linux para que tomem medidas preventivas.

“Um dos maiores problemas da comunidade Linux é que as pessoas tendem a acreditar que o Linux é seguro. Isso tende a fazer com que as pessoas não atualizem o Linux com a frequência necessária ou não concluam as instalações das atualizações do kernel quando deveriam ”, continuou Meyers. Mas “Não há mágica protegendo nenhum sistema operacional. Alguém vai tentar quebrar cada um deles. Sempre que houver atualizações disponíveis, as atualizações devem ser concluídas, usando a metodologia de TI padrão. ”

“A conclusão mais importante do relatório é que o Fancy Bear ainda tem truques na manga com mais ferramentas e recursos que ainda estão sendo descobertos”, disse Adam Meyers, vice-presidente sênior de inteligência da CrowdStrike. “Outra conclusão importante é que muitas organizações não investiram em ferramentas de segurança semelhantes para Linux como fizeram para outras plataformas de usuário. Eles precisam perceber que o Linux é tão vulnerável a malware quanto qualquer outra plataforma. ”

De acordo com o FBI e a NSA, Drovorub representa “uma ameaça aos sistemas de segurança nacional, ao Departamento de Defesa e aos clientes da Base Industrial de Defesa que usam sistemas Linux”.

O malware é composto por quatro componentes principais que executam módulos específicos de tarefas, e a comunicação entre os componentes ocorre por meio de um formato de mensagem baseado em JSON, sobre o protocolo WebSocket que opera por meio de uma conexão TCP.

O componente do servidor Drovorub reside na infraestrutura do invasor e permite a comunicação C2, aproveitando um banco de dados MySQL para armazenar os dados necessários para registro, autenticação e atribuição de tarefas. O módulo cliente Drovorub, por sua vez, fica em endpoints infectados e recebe comandos do módulo servidor. Ele permite transferência de arquivos, encaminhamento de porta e recursos de shell remoto, e é fornecido com o módulo Drovorub-kernel, que concede “funcionalidade furtiva baseada em rootkit para ocultar o cliente e o módulo kernel”, explica o comunicado.

Um quarto módulo, Drovorub-agent, atua de forma semelhante ao Drovorub-client, e é “provável que seja instalado em hosts acessíveis pela Internet ou infraestrutura controlada por ator”, diz o consultor. Ele também pode receber comandos do servidor, mas há capacidade de shell remoto ou rootkit de módulo de kernel. Os módulos de agente e cliente não podem se comunicar diretamente, mas podem interagir indiretamente por meio do módulo de servidor.

Referindo-se às técnicas de evasão avançadas do kit de ferramentas, o FBI e a NSA observam que o módulo Drovorub-kernel “representa um desafio para a detecção em grande escala no host porque esconde artefatos Drovorub [por exemplo, arquivos, diretórios e processos] de ferramentas comumente usadas para live -resposta em escala. ”

Para combater essa ameaça, o comunicado sugere medidas como sistemas de detecção de intrusão de rede, sondagem, execução de produtos de segurança, registro, resposta ao vivo, análise de memória e análise de imagem de disco de mídia.

A McAfee sugeriu especificamente a varredura de rootkits, carregando apenas módulos conhecidos ou desabilitando módulos totalmente, usando o Linux kernel Lockdown, habilitando o aprimoramento de segurança SELinux e muito mais.

Mick Baccio, consultor de segurança do Splunk, teorizou em uma  postagem de blog  por que a NSA e o FBI decidiram que agora era a hora de lançar luz sobre a ameaça Drovorub e sua afiliação com Fancy Bear (também conhecido como APT 28 e Sofacy), que foi ligada à da Rússia Agência de inteligência GRU. “A divulgação de Drovorub é um revés prejudicial porque a reorganização não é nem rápida nem fácil – mesmo para uma organização de inteligência bem financiada como o GRU”, disse ele. “Este aviso é o equivalente digital de um tiro na proa. ‘Podemos ver você e estamos observando.’ ”

No mês passado, pesquisadores da Intezer divulgaram sua descoberta de um ataque de contêiner Docker que distribui um backdoor malicioso “totalmente indetectável” para ambientes de nuvem baseados em Linux. À medida que as organizações de usuários movem mais de sua infraestrutura de negócios para fora das instalações, os cibercriminosos estão cada vez mais motivados a visar ambientes de nuvem baseados em Linux.

Fonte: https://www.scmagazine.com/home/security-news/malware/u-s-urges-linux-users-to-secure-kernels-from-new-russian-malware-threat/
Foto: Jan Woitas / imagem aliança via Getty Images