Conecta con nosotros

Noticias

NSA alerta de un nuevo marco de malware contra Linux llamado Drovorub

Publicado el

Drovorub

NSA ha emitido una alerta sobre un nuevo marco de malware llamado Drovorub que tiene como objetivo máquinas con sistemas Linux. Habría sido desarrollado y desplegado desde el GRU, la Dirección Principal de Inteligencia del Estado Mayor Ruso, según la información.

La batalla entre las agencias de inteligencia de las superpotencias continúan en el mundo digital en una ciberguerra fría instalada en el planeta desde hace décadas. Este tipo de alertas de uno y otro lado se repiten cada vez con más frecuencia.

Drovorub es una suite maliciosa compuesta de cuatro módulos y utiliza una variedad de técnicas para esconderse y evadir la detección. Y es preocupante no solo por los pasos que toma para ocultarse, sino también por los privilegios de nivel raíz que es capaz de conseguir.

Drovorub es un conjunto de herramientas de malware contra máquinas Linux que consta de un implante, junto con un rootkit del módulo del kernel, una herramienta de transferencia de archivos y reenvío de puertos y un servidor de comando y control (C2).

Cuando se implementa en una máquina atacada, el implante Drovorub (cliente) proporciona la capacidad de comunicaciones directas con la infraestructura controlada por el atacante; capacidades de carga y descarga de archivos; ejecución de comandos arbitrarios como «root» y el reenvío de puertos del tráfico de la red a otros hosts.

El rootkit del módulo del kernel utiliza una variedad de medios para ocultarse en los dispositivos infectados y persiste hasta el reinicio de las máquinas a menos que el arranque seguro UEFI esté habilitado en modo completo.

La NSA no informa del tiempo que lleva en circulación Drovorub, pero asegura que ha sido desarrollado por el GRU ruso operando bajo alguno de sus nombres: Fancy Bear, APT28 o Strontium. 

Se recomienda a los administradores de sistemas que actualicen las máquinas Linux a la versión del kernel 3.7 o posteriores para evitar ser susceptibles a ataques, además de tomar precauciones para asegurarse de que solo se carguen los módulos con firmas digitales válidas.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído