par Drovorub est un « couteau suisse qui permet à l’attaquant d’exécuter de nombreuses fonctions différentes, tels que le vol de fichiers et le contrôle à distance de l’ordinateur de la victime », explique Steve Grobman, directeur technique de McAfee.
En plus de ces multiples capacités, le malware est conçu pour la furtivité en utilisant des technologies avancées de rootkit « qui rendent sa détection difficile », ajoute le dirigeant de McAfee. « L’élément de furtivité permet aux agents d’implanter le malware dans différents types de cibles, permettant une attaque à tout moment. »
« Les Etats-Unis sont un environnement riche en cibles pour d’éventuelles cyberattaques. Les objectifs de Drovorub ne sont pas mentionnés dans le rapport, mais ils peuvent aller de l’espionnage industriel à l’ingérence électorale », précise Steve Grobman. « Les détails techniques publiés aujourd’hui par la NSA et le FBI sur la boîte à outils Drovorub sont très précieux pour les cyberdéfenseurs à travers les Etats-Unis. »
Pour prévenir les attaques, l’agence recommande aux organisations américaines de mettre à jour tout système Linux vers une version fonctionnant avec un noyau de la version 3.7 ou plus récente, « afin de profiter pleinement des outils de vérification de la signature du noyau », une caractéristique de sécurité qui empêcherait les pirates APT28 d’installer le rootkit de Drovorub.
L’alerte de sécurité commune [PDF] contient des conseils pour exécuter Volatility, sonder les techniques de dissimulation de fichiers, les règles Snort et les règles Yara pour déployer des mesures de détection appropriées.
Quelques détails intéressants que nous avons recueillis dans le document :
- Le nom Drovorub est le nom donné par APT28 au malware, et non celui attribué par la NSA ou le FBI.
- Le nom vient de drovo [дрово], qui se traduit par « bois de chauffage », ou « bois » et « frottement » [руб], qui se traduit par « abattre », ou « hacher ».
- Le FBI et la NSA ont ajouté avoir pu lier Drovorub à APT28 après que les hackers russes ont réutilisé leurs serveurs lors de différentes opérations. Par exemple, les deux agences affirment que Drovorub s’est connecté à un serveur C & C qui avait été utilisé dans le passé pour les opérations d’APT28 visant les dispositifs IoT au printemps 2019. L’adresse IP avait été précédemment identifiée par Microsoft.
Merci de votez pour cet article :
(1 votes, average: 4,00 out of 5) 
Loading...
Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
