La NSA et le FBI ont publié des informations détaillées sur le logiciel malveillant Drovorub Linux, mais les principales sociétés de cybersécurité n’ont trouvé aucun échantillon

Un logiciel malveillant lié par les agences de renseignement américaines à des pirates informatiques censés être soutenus par le gouvernement russe reste un mystère pour le secteur privé, qui n’a apparemment pas trouvé un seul échantillon du logiciel malveillant, et un chercheur est allé jusqu’à le suggérer. peut être un faux drapeau mis en place par les États-Unis eux-mêmes.

En août 2020, la NSA et le FBI ont publié un avis conjoint de cybersécurité détaillant un logiciel malveillant qu’ils ont nommé Drovorub. Selon les agences, Drovorub a été conçu pour cibler les systèmes Linux dans le cadre d’opérations de cyberespionnage menées par l’unité militaire 26165 de la direction générale du renseignement de l’état-major de la Russie (GRU), 85e centre de services spéciaux acteur de la menace suivi comme APT 28, Fancy Bear, Sednit et Strontium.

Le rapport de 45 pages publié par la NSA et le FBI décrit Drovorub comme un «ensemble d’outils contre les malwares Linux» qui se compose d’un implant avec un rootkit de module de noyau, un outil de transfert de fichiers et de transfert de port et un serveur de commande et de contrôle (C&C).

«Lorsqu’il est déployé sur une machine victime, l’implant Drovorub (client) offre la possibilité de communiquer directement avec l’infrastructure C2 contrôlée par l’acteur; capacités de téléchargement et de téléchargement de fichiers; exécution de commandes arbitraires en tant que «root»; et la redirection de port du trafic réseau vers d’autres hôtes du réseau », ont écrit les agences dans leur avis.

L’avis partage des informations sur le fonctionnement de Drovorub, comment il peut être détecté et comment les entreprises peuvent protéger leurs systèmes contre les attaques impliquant le malware.

En novembre, le géant industriel français Schneider Electric a émis un avis pour avertir les clients de la menace potentielle posée par Drovorub à certains de ses produits, mais la société a déclaré à SecurityWeek à …