Les États-Unis ont publié jeudi des informations sur Drovorub, un logiciel malveillant jusque-là non divulgué que les cyberespions liés à la Russie utilisent dans des attaques visant des systèmes Linux.

Drovorub, un avis conjoint de la NSA et du FBI révèle, est employé par la direction générale du renseignement de l’état-major russe (GRU) 85e unité militaire 26165 du centre de services spéciaux principal (GTsSS), mieux connue sous le nom de groupe de cyber-espionnage APT 28 (Ours fantaisie, Tempête de pions, Strontium, Sednit, Tsar Team).

L’APT 28 aurait lancé des attaques contre des pays de l’OTAN et l’Ukraine, et aurait orchestré l’attaque contre DNC avant les élections de 2016 aux États-Unis. Plus tôt cette année, les chercheurs ont découvert que le groupe détournait des comptes de messagerie de haut niveau pour lancer des attaques de phishing.

Un logiciel malveillant propriétaire, selon le gouvernement américain, Drovorub se compose d’un implant et d’un rootkit de module de noyau (qui sont installés sur les systèmes cibles), ainsi que d’un outil de transfert de fichiers et de redirection de port (installé sur des hôtes accessibles sur Internet), et d’un serveur de commande et de contrôle (C&C) associé.

Sur la machine victime, la menace peut communiquer avec le C&C de l’attaquant, télécharger et télécharger des fichiers, exécuter des commandes avec des privilèges root, effectuer une redirection de port, se cacher pour échapper à la détection et assurer la persistance lors des redémarrages du système.

La NSA et le FBI, qui fournissent des détails techniques complets sur le malware Drovorub, affirment que les systèmes exécutant des versions du noyau Linux de 3.7 ou moins sont exposés, en raison du manque d’application adéquate de la signature du noyau. Ainsi, s’assurer que les systèmes sont équipés du dernier logiciel fourni par le fournisseur devrait éloigner cette menace.

L’avis révèle également que Drovorub ne peut pas atteindre la persistance sur les systèmes où le démarrage sécurisé UEFI est activé en mode «Complet» ou «Complet», garantissant ainsi que les modules de noyau signés sont en cours …