Dans un avis de cybersécurité, la NSA - l'agence nationale de la sécurité des États-Unis - et le FBI avertissent au sujet d'un malware Linux du nom de Drovorub et pour une menace attribuée au groupe APT28.
Ce groupe de cyberespionnage a déjà fait parler de lui à de multiples reprises. Il est autrement connu en tant que Sofacy, Pawn Storm, Strontium ou encore Fancy Bear. Il serait lié aux renseignements militaires russes et opérerait depuis près de 13 ans.
Drovorub est présenté comme une boîte à outils malveillante avec un implant (client) associé à un rootkit pour un module du noyau Linux, un outil de transfert de fichiers et de redirection de port (agent), un serveur de commande et contrôle.
" Lorsqu'il est déployé sur une machine victime, Drovorub permet des communications directes avec une infrastructure de commande et contrôle, le téléchargement et l'upload de fichiers, l'exécution de commandes arbitraires, la redirection du trafic réseau vers d'autres hôtes sur le réseau et met en œuvre des techniques de dissimulation pour échapper à la détection ", peut-on lire dans l'avis de cybersécurité.
Cet avis est accompagné d'un rapport technique détaillé (PDF) avec des mesures complémentaires pour aider à identifier une activité en rapport avec le malware. À noter tout de même que ce sont les systèmes avec une version 3.7 (fin 2012) ou antérieure du noyau Linux qui sont les plus susceptibles d'être affectés par Drovorub.
Depuis la mouture 3.7 du kernel Linux et l'introduction de signatures pour les parties du noyau intégrées pendant son fonctionnement, cette fonctionnalité de sécurité doit faire barrage à l'installation du rootkit Drovorub. Le rapport recommande en outre d'activer le secure boot pour l'UEFI en mode Full ou Thorough.
La NSA et le FBI ont établi un lien entre Drovorub et APT28 grâce à la réutilisation par le groupe de serveurs (pour l'infrastructure de commande et contrôle) ayant servi à plusieurs de ses opérations.
" Drovorub représente une menace pour les systèmes de sécurité nationale, le département de la Défense et les industries nationales pour les activités de défense qui utilisent les systèmes Linux. "