Dans un rapport publié le 13 août dernier, la NSA et le FBI mettent en garde contre un maliciel appelé Drovorub et qui cible les systèmes Linux. Les deux agences attribuent Drovorub au groupe APT28 (nommé et aussi Fancy Bear et Strontium), un groupe que les autorités américaines accusent d’appartenir à un département des services de renseignement russes. Sur la brèche en temps normal, les agences gouvernementales de sécurité intérieure américaines sont plus méfiantes que jamais, à mesure que les élections approchent et que les craintes d’une ingérence étrangère montent.
Bien qu’il puisse être classé dans la catégorie des rootkit, Drovorub est plutôt un ensemble de logiciels malveillants pour les systèmes Linux. Un véritable kit composé d’un noyau couplé à un implant, et de couches applicatives composées d’un outil de transfert de fichiers et de redirection de ports et d’un serveur de commande et de contrôle dit C2. Lorsqu’il est déployé sur une machine victime, l’implant Drovorub (client) offre la possibilité de communiquer directement avec l’infrastructure C2 contrôlée par l’attaquant, de télécharger des fichiers, d’exécuter des commandes arbitraires en tant que « root » et de rerouter le trafic réseau vers d’autres hôtes sur le réseau.
Un maliciel furtif, difficile à débusquer
Du fait de son architecture et de mécanismes d’évitement, Drovorun est difficile à détecter selon les agences américaines. Il « cache » ses artefacts des outils de recherche et de détection couramment utilisés et nécessite l’utilisation de techniques de détection complémentaires pour être démasqué. Le rapport préconise un empilement de méthodes de détection allant de l’inspection des paquets aux frontières du réseau aux méthodes basées sur l’hôte comprennent les produits de sécurité et de réponse aux attaques, l’analyse de la mémoire et l’analyse des médias. Des conseils spécifiques pour l’exécution de Volatility, l’analyse du comportement de masquage des fichiers, les règles Snort et les règles Yara sont inclus dans le rapport.
Par ailleurs, il semble que les systèmes avec une version de noyau 3.7 ou inférieure sont les plus susceptibles d’être infectés. Les agences conseillent aux administrateurs système de mettre à jour le noyau Linux 3.7 vers une version ultérieure afin de profiter pleinement de l’application de la signature du noyau. Ils conseillent aux propriétaires de systèmes de configurer les systèmes de manière à ne charger que les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d’introduire un module de noyau malveillant dans le système.