ФБИ и НСА упозоравају на нови Линук Малваре

ФБИ и НСА упозоравају на нови Линук Малваре



У зглобу извештај коју су издали Федерални истражни биро (ФБИ) и Агенција за националну безбедност (НСА) информације о новом раније непријављеном малверу названом Дроворуб објављене су у јавности. Две агенције приписале су злонамерни софтвер АПТ28, групи са разним кодним именима, али праћеном као Фанци Беар , овом публикацијом. Извештај садржи богатство техничких информација за свакога ко треба да ојача свој Линук систем како би спречио да постане жртва инфекције Дроворубом.

Сам малвер је описан као „ Швајцарски војни нож ”Јер се ради о вишекомпонентном злонамерном софтверу. Злонамерни софтвер се састоји од имплантата, рооткита модула језгра, алата за пренос датотека, модула за прослеђивање портова и сервера за команду и контролу (Ц2). Ово омогућава злонамерном софтверу да обавља разне функције, укључујући крађу података и даљинско управљање зараженим системом. Злонамерни софтвер постиже висок стеалтх и врло је тешко открити, што се злонамерном софтверу додељује коришћењем напредних рооткит . Рооткит се обично дефинише као делови злонамерног кода који постижу роот приступ зараженом систему добивањем привилегованог приступа систему. Одатле се могу користити за обављање различитих задатака, укључујући пријављивање кључева, крађу датотека, онемогућавање антивирусних производа и низ других операција које фаворизују државне спонзориране групе. У случају Дроворуб-а, рооткит омогућава да се малваре учита након покретања, што даље додаје постојаност у зараженој мрежи јер ће, за разлику од многих других породица малвера, малваре преживети поновно покретање система. Даље, употреба тако напредног рооткита омогућава Фанци Беару да зарази широк спектар циљева, као и да изводи нападе у било ком тренутку.





Иако извештај који су објавиле две агенције не спомиње одређене циљеве, међутим, може се сигурно претпоставити да ће организације у Северној Америци бити циљане јер пружају бројне могућности хакерима свих врста, било да их финансира држава или финансијски мотивишу . Страхује се да се због скривене и утилитарне природе малвера може користити у сајбер шпијунажи и мешању у изборе.

фби и нса упозоравају на дроворуб линук малваре



Извештај, који има 45 страница, детаљно описује неколико важних детаља, са резимеом занимљивијих делова који се овде репродукују. Ни ФБИ ни НСА злонамерном софтверу не дају име, а име је користи Фанци Беар и може се приближно превести као цепање огревног дрвета. Приписивање злонамерног софтвера Фанци Беару омогућили су хакери који су поново користили сервере током неколико кампања, укључујући једну операцију виђену у дистрибуцији Дроворуб-а.

Дроворуб је некада циљао ИоТ уређаје

Фанци Беар има навику да циља уређаје Интернет оф Тхингс (ИоТ), почетком 2019. године, Мицрософт открио кампања способна да зарази ИоТ уређаје. Исте године поново Мицрософт непокривен друга кампања која циља ИоТ уређаје. Детаљи о каснијој кампањи откривени су у августу, али према истраживачима, активност Фанци Беар-а могла би се пратити до априла када би група покушала да угрози више ИоТ уређаја. Уређаји су садржали ВОИП телефон, канцеларијски штампач и видео декодер. У време када је ИТ гигант из Редмонда изјавио,

„Истрага је открила да је глумац користио ове уређаје за почетни приступ корпоративним мрежама. У два случаја лозинке за уређаје су примењене без промене подразумеваних лозинки произвођача, ау трећем случају најновије безбедносно ажурирање није примењено на уређај. Након што је добио приступ сваком од ИоТ уређаја, глумац је покренуо тцпдумп да би њушкао мрежни саобраћај на локалним подмрежама. Такође су виђени како набрајају административне групе у покушају даље експлоатације. Како би се глумац пребацио са једног уређаја на други, испустили би једноставну скрипту љуске како би успоставили постојаност на мрежи која је омогућавала продужени приступ за наставак лова “,

Према ФБИ и НСА у најмање једном од тих случајева, чини се да је Дроворуб био распоређен. Веза између кампање и злонамерног софтвера успостављена је након открића да је коришћена иста ИП адреса коју је претходно документовао Мицрософт. Агенције су потврдиле Мицрософтове налазе, напомињући да,

„Поред приписивања НСА-е и ФБИ-а ГТсСС-у, оперативна инфраструктура за команду и контролу Дроворуб повезана је са јавно познатом оперативном кибер-инфраструктуром ГТсСС. На пример, 5. августа 2019. Мицрософт Сецурити Респонсе Центер објавио је информације које ИП адресу 82.118.242.171 повезују са инфраструктуром Стронтиум у вези са експлоатацијом уређаја Интернет оф Тхингс (ИоТ) у априлу 2019. (Мицрософт Сецурити Респонсе Центер, 2019) (Мицрософт, 2019) НСА и ФБИ су потврдили да је иста ИП адреса такође коришћена за приступ Дроворуб Ц2 ИП адреси 185.86.149.125 у априлу 2019. “

Извештај који су објавиле две америчке агенције улази у детаљне детаље у вези са техничким детаљима злонамерног софтвера. То укључује смернице за покретање Волатилити-а, испитивање понашања при скривању датотека, Снорт правила и Иара правила за администраторе како би развили одговарајуће методе откривања и заштитили мреже. Такође, заштитарска фирма МцАфее објављено чланак на блогу са даљим безбедносним мерама и препорукама за скенирање рооткитова и учвршћивање Линук кернела подложног инфекцији. За све оне који су оптужени за одбрану мрежа циљаних од стране држава спонзорисаних група, ови извештаји треба да се сматрају обавезним читањем. Што се тиче превентивних мера, горе поменуте агенције саветују администраторе да ажурирају Линук кернел на верзију 3.7 или новију. Ово је како би се искористила функција ОС која имплементира примену Кернел потписивања. Даље, администратори треба да конфигуришу системе на такав начин да систем учитава само модуле са важећим дигиталним потписом.

Зашто Линук и ИоТ уређаји?

За многе се поставља питање зашто уопште стварати злонамерни софтвер који циља Линук? Разлога је много, али један од главних је тај што како је Линук отвореног кода, а све више произвођача и великих компанија усваја хардвер који ради под Линуком, расте потреба за хакерима да развијају Линук малваре. Тачно је да велика већина малвера циља кориснике Мицрософта, јер ОС има много већу корисничку базу и рањивости откривене у Мицрософтовим производима потенцијално омогућавају ефикаснији малвер, али забележен је пораст употребе Линука. Ово повећање заузврат је довело до тога да су програмери малвера све више окретали поглед ка Линуку.

Други део питања је зашто циљати ИоТ уређаје? Разлози су опет бројни, али Линук је постао ОС по избору за ИоТ уређаје. Како се ови уређаји производе у све већем броју, тако се производи и број уређаја који раде на некој верзији Линука. За програмере је природа Линука отвореног кода атрактивна, штеди трошкове и омогућава потпуну транспарентност ОС-а, што значи да програмери имају приступ целом ОС-у и могу развити боље софтверске производе који ће на њему радити. Ово је заузврат привукло хакере који сада могу да пронађу и искористе недостатке који би се претходно превидели у најбољим временима.

За Фанци Беара ови разлози чине циљеве који се више не могу занемарити. Ово се комбинује са сазнањем да многе највеће светске организације и владине агенције примењују Линук у једној или другој верзији, било путем ИоТ уређаја или путем сервера. Тхе Екуифак кршење је одличан пример за то, иако није неопходно да га спроводи државно спонзорисана група, приступ мрежи је омогућен путем рањивости у Апацхе Струтс популарном оквиру за веб развој за Линук који се обично налази на серверима. Истраживач безбедности Иан Фолуа, открио да је половина компанија из Фортуне 100 користила Апацхе Струтс у једном или другом облику.

За цибер шпијунажу и друге активности повезане са Фанци Беаром, игнорисање таквих циљева било би глупо. Такође се може сигурно претпоставити да би многе владе и њихове организације широм света такође користиле Апацхе Струтс или Линук кернеле у оквиру своје инфраструктуре. Овај проблем додатно појачавају велике мреже које користе широк спектар софтверских пакета, што заузврат отежава реализацију целокупне мреже и закрпе онога што треба поправити. Да би се супротставио овоме, Иан Фолуа саветује да администратори почну да откривају обим пакета и алата отвореног кода који се користе на мрежи, а затим их прате за ажурирања. Просечни програмер може да користи пет нових алата отвореног кода месечно, тако да њихово праћење може да се покаже виталним за организациону сигурност.

гимп бела до провидна

Занимљиви Чланци

ПОП-УП превара са АпплеЦаре планом заштите (Мац)

ПОП-УП превара са АпплеЦаре планом заштите (Мац)

Како се решити АпплеЦаре Протецтион План ПОП-УП превара (Мац) - водич за уклањање вируса (ажурирано)

Мицрософт Антивирус превара

Мицрософт Антивирус превара

Како уклонити Мицрософт Антивирус Сцам - кораци за уклањање вируса

Огласи према ундефинед

Огласи према ундефинед

Како да деинсталирате огласе према недефинисаном - упутства за уклањање вируса (ажурирано)

[Бесплатно преузимање] Ви Цхеат Схеет За почетнике

[Бесплатно преузимање] Ви Цхеат Схеет За почетнике

Овај брзи водич за Ви команде уштедеће вам много времена.

ТројанДовнлоадер: ПДФ / Домепидиеф.А Вирус

ТројанДовнлоадер: ПДФ / Домепидиеф.А Вирус

Како уклонити ТројанДовнлоадер: ПДФ / Домепидиеф.А Вирус - упутства за уклањање вируса (ажурирано)

Невтаб.цо Редирецт

Невтаб.цо Редирецт

Како се решити Невтаб.цо Редирецт - водич за уклањање вируса (ажурирано)

СИСТЕМ УПОЗОРЕЊЕ Превара

СИСТЕМ УПОЗОРЕЊЕ Превара

Како деинсталирати СИСТЕМ УПОЗОРЕЊЕ Превара - упутства за уклањање вируса

Зауставите преусмеравање на и са фрес-невс.цом

Зауставите преусмеравање на и са фрес-невс.цом

Како да деинсталирате Фрес-невс.цом Адс - упутства за уклањање вируса (ажурирано)

Ствари које треба да знате о Убунту 20.04

Ствари које треба да знате о Убунту 20.04

Имате ли питања и недоумица у вези надоградње, инсталације Убунту 20.04? Овај чланак одговара на нека од уобичајених питања о Убунту 20.04.

Цортана.еке крипто минер вирус

Цортана.еке крипто минер вирус

Како уклонити вирус Цортана.еке Црипто Минер Вирус - упутства за уклањање вируса (ажурирано)


Категорије