LINUX.ORG.RU
ФорумTalks

АНБ раскрыло информацию по российскому руткиту «Дроворуб»

 , , , ,


0

1

АНБ выпустило предупреждение о шпионских операциях российской разведки (ГРУ) с использованием ранее не известного вредоносного инструментария для ОС на базе ядра Linux под названием «Дроворуб».

АНБ, совместно с ФБР, опубликовало технический отчет, в котором подробно описываются возможности «Дроворуба» и предлагаются действия по обнаружению и профилактике. Агентство сообщило, что в состав фреймворка входит модуль ядра rootkit, который затрудняет его обнаружение с помощью традиционных решений по безопасности.

Вредоносная структура имеет различные модули, обеспечивающие скрытность, стойкость и полный доступ к зараженной машине с наивысшими привилегиями. Клиентская сторона вредоносного ПО может напрямую взаимодействовать с инфраструктурой C&C, имеет возможности загрузки/загрузки файлов, выполняет произвольные команды с привилегиями ‘root’, а также может пересылать сетевой трафик на другие машины в сети.

Согласно АНБ, руткит успешно скрывается на заражённой машине и выдерживает перезагрузку, если не включен режим Secure Boot в UEFI.

Отчет АНБ описывает технические детали для каждого модуля «Дроворуба», которые взаимодействуют друг с другом через JSON WebSocket API и шифруют трафик с помощью RSA.

И АНБ, и ФБР приписывают вредоносную программу 85-му Главному спецподразделению (ГЦСС ГРУ Генштаба РФ), воинская часть №26165.

Пресс-релиз АНБ

Краткое описание «Дроворуба»

Отчёт

★★★★☆

Последнее исправление: cocucka (всего исправлений: 1)

аналагафнет с метасплоитом и шлюхами?

linuxxx
()

громче всех «держи вора» кричит сам вор.

Понравилось название «Древоруб». Понабирали икспердов по объявлениям, а спрашивают как с умных…

zad1ra
()
Последнее исправление: zad1ra (всего исправлений: 1)
Ответ на: комментарий от anto215

Дроворуб? это наверное двойной перевод через гугль-транслейт

либо наши маскируются под украинцев, либо америкашки не различают украинцев и русских

https://translate.google.ru/#view=home&op=translate&sl=uk&tl=ru&text=%D0%B4%D1%80%D0%BE%D0%B2%D0%BE%D1%80%D1%83%D0%B1

fsb4000 ★★★★★
()
Ответ на: комментарий от anto215

Дроворуб? это наверное двойной перевод через гугль-транслейт

Видимо, дровосек вызывал нездоровые ассоциации.

The name of the malware means ‘woodcutter’ in Russian and the NSA says that it is how GTsSS refers to the toolset. It is coined from the words Drovo and and Rub, which translate from Russian to “wood/firewood” and “to chop/fell, respectively.
cocucka ★★★★☆
() автор топика

С названием, конечно, спалились. :)

Вот всегда удивляло, что в Штатах, где более чем достаточно пусть и не русских, но вполне русскоговорящих, постоянно какие-то проблемы с «Туча ФЗНАМЗНОН» в продукции голливуда и вот подобных вбросах.

Stanson ★★★★★
()
Ответ на: комментарий от robus

там топор торчит сзаду, покрути, точно найдешь :)

Morin ★★★★
()
Ответ на: комментарий от cocucka

У тебя в дистрибутиве софт умеющий:

напрямую взаимодействовать с инфраструктурой C&C, имеет возможности загрузки/загрузки файлов, выполняет произвольные команды с привилегиями ‘root’, а также может пересылать сетевой трафик на другие машины в сети.

искаропки идёт. openssh называется.

Stanson ★★★★★
()
Ответ на: комментарий от fsb4000

Там просто прямые люди, никак не поймут как можно из-за сраки изобрести язык, герб и флаг

TooPar
()
Последнее исправление: TooPar (всего исправлений: 1)
Ответ на: комментарий от robus

А можно для Ъ, каким образом задетектить есть ли он на моём локалхосте?

+1. Лорчую. Это было бы самым интересным для большинства.

Не совсем для большинства, но еще интереснее была бы ссылка на экземпляр, но вряд ли мы ее увидим =)

praseodim ★★★★★
()
Ответ на: комментарий от robus

каким образом задетектить есть ли он на моём локалхосте?

sudo systemctl status kgbd или lsmod | grep drovorub

cocucka ★★★★☆
() автор топика

Ну название логичное, этой хренью можно много дров нарубить.

ncrmnt ★★★★★
()
Последнее исправление: ncrmnt (всего исправлений: 2)
Ответ на: комментарий от anto215

да, странно, но что же было в оригинале?

crypt ★★★★★
()
Ответ на: комментарий от fsb4000

либо наши маскируются под украинцев, либо америкашки не различают украинцев и русских

Есть такое русское слово, правда помечено как устаревшее и/или диалектное/областное.

https://academic.ru/searchall.php?SWord=%D0%B4%D1%80%D0%BE%D0%B2%D0%BE%D1%80%D1%83%D0%B1&from=xx&to=ru&did=&stype=

https://www.multitran.com/m.exe?s=%D0%B4%D1%80%D0%BE%D0%B2%D0%BE%D1%80%D1%83%D0%B1&l1=2&l2=1

https://books.google.com/ngrams/graph?content=%D0%B4%D1%80%D0%BE%D0%B2%D0%BE%D1%80%D1%83%D0%B1&year_start=1900&year_end=2019&corpus=12&smoothing=3#

Bagrov ★★★★★
()
Ответ на: комментарий от cocucka

Дровосек это кто тщательно ухаживает за собой, чтобы нравится другим дровосекам. А мужики работающие в лесу называются лесорубы.

Lzzz
()
Ответ на: комментарий от praseodim

Да скорее всего для большинства это не надо.
Руткит этот на обычных юзеров не нацелен, его внедряли только в служебные компьютеры США, а может быть даже чисто конкретно под компьютеры руководства АНБ заточили.
https://i.fiery.me/Tqoet.mp3

Bad_ptr ★★★★★
()
Ответ на: комментарий от cocucka

Они называются ламбертосексуалы. От слова lumberjack – «лесоруб». Но к брутальным мужикам из леса они имеют примерно такое же отношение как дизайнеры, визажисты и прочие куколды-снежинки.

ГРУ кстати уже давно не существует.

Lzzz
()

вредоносного инструментария для ОС на базе ядра Linux

Все на *BSD

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

В принципе, ничего удивительного. И в ЦРУ, и в АНБ разработали массу молвари с подчас сложной архитектурой. В WikiLeaks была выложена потрясающего качества техническая документация ЦРУ на молварь. Где-то в сети болтались исходники молвари АНБ. Чем ГРУ хуже?

Bagrov ★★★★★
()
Ответ на: комментарий от Lzzz

ГРУ кстати уже давно не существует.

Ну да, после переименования ГРУ в ГУ ГШ ВС РФ теперь точно нет ГРУ.

Bagrov ★★★★★
()
Ответ на: комментарий от Lzzz

А я думал это хипстеры, а это лесорубосексуалы оказывается.

cocucka ★★★★☆
() автор топика
Ответ на: комментарий от Bad_ptr

Да скорее всего для большинства это не надо. Руткит этот на обычных юзеров не нацелен,

Будет производиться в ограниченных количествах на тайване и выдаваться после заполнения анкет на сайте и письма от предприятия.

vaddd ★☆
()

если не включен режим Secure Boot в UEFI.

Хаха. Забавно. А я только-что отключил его на свеже-собраном комплюкторе, т.к от него больше геморроя чем пользы. А оказывается, что польза-то есть.

Понятно, что «Дроворуба» я вряд-ли подцеплю, но механизмы линуксовых малварей неплохо развились за последние годы как я посмотрю. Так скоро они и в файловой системе научатся скрываться как в венде - через фильтры.

Ещё, вангую, что если дистрибутив\ведро загруженное с SecureBoot позволяет запускать не подписанные модули, то от малвари это так-же не спасёт.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от anto215

Дроворуб? это наверное двойной перевод через гугль-транслейт

Да как раз вполне по нашему, на самом деле. Ничем не хуже незабудки, дружбы, боливара.

Zhbert ★★★★★
()

воинская часть №26165.

Интересно, даже если эта часть существует, слышал ли там кто-либо про линукс…

seiken ★★★★★
()
Ответ на: комментарий от seiken

А это не из нее ли грушника наши поймали с квитанцией такси от расположения части до Шереметьева? Или из другой?

cocucka ★★★★☆
() автор топика
Ответ на: комментарий от Bad_ptr

Грузите гостайну бочками. приём

cocucka ★★★★☆
() автор топика
Ответ на: комментарий от Bad_ptr

На опеннете https://www.opennet.ru/opennews/art.shtml?num=53545 кстати, есть инструкция.

Для обнаружения «Дроворуба» можно использовать анализ сетевого трафика средствами NIDS (вредоносную сетевую активность в самой заражённой системе выявить не удаётся, так как модуль ядра скрывает используемые им сетевые сокеты, правила netfilter и пакеты, которые могли бы перехватиться raw-сокетами). В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла:

   touch testfile
   echo “ASDFZXCV:hf:testfile” > /dev/zero
   ls

Созданный файл «testfile» при этом становится невидимым.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

В системе, где установлен «Дроворуб», можно обнаружить модуль ядра, отправив ему команду сокрытия файла:

какой-то баг в рутките

seiken ★★★★★
()

вот они - пагубные корни эльбруса!

darkenshvein ★★★★★
()

Методики распространения в отчёте нет, так что это полная херня, не строящая выеденного яйца. Устанавливается вручную.

WitcherGeralt ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.