NSA ve FBI, Linux Sunucuları Hedef Alan Zararlı Yazılım Hakkında Uyardı
Amerikan Ulusal Güvenlik Ajansı NSA (National Security Agency), Drovorub isimli bir Linux kötü amaçlı yazılımını kullanan Rus İstihbarat Müdürlüğü’nün (GRU) casusluk operasyonları hakkında uyarıda bulundu. Kötü amaçlı yazılım, gizliliği, kalıcılığı ve en yüksek ayrıcalıklarla tehlikeye atılan sunucuya tam erişim sağlayan çeşitli modüllere sahip olduğu tespit edildi.
NSA , Drovorub’un yeteneklerini detaylandıran ve tespit ve önleme çözümleri sunan teknik bir rapor (FBI ile ortak) yayınladı. Ajans, zararlı yazılımın, ağ genelindeki güvenlik çözümlerinin zararlı yazılımın tespitini zorlaştıran bir rootkit içerdiğini söylüyor. Ulusal Güvenlik Ajansı açıklamasında “Drovorub, bir çekirdek modülü kök kiti, bir dosya aktarımı ve bağlantı noktası yönlendirme aracı ve bir Komut ve Kontrol (C2) sunucusuyla birleştirilmiş bir implant [istemci] içeren Linux kötü amaçlı yazılım araç setidir” diye belirtti. Kötü amaçlı yazılımın istemci tarafı, tehdit aktörünün C2 altyapısıyla doğrudan iletişim kurabilir, dosya yükleme / indirme yeteneklerine sahiptir, ‘kök’ ayrıcalıklarıyla rastgele komutlar yürütebilir ve ağ trafiğini ağdaki diğer makinelere iletebilir.
NSA’nın raporu, WebSockets üzerinden JSON aracılığıyla birbirleriyle iletişim kuran ve RSA algoritmasını kullanarak sunucu modülüne giden ve gelen trafiği şifreleyen her bir Drovorub parçasının teknik ayrıntılarını açıklıyor.
Tespit-Önlem: NSA’nın araştırması, kötü amaçlı yazılım etkinliğinin tamamlayıcı tespit teknikleri tarafından görülebildiğini, ancak bunların Drovorub çekirdek modülü için çok etkili olmadığını belirledi. Suricata, Snort, Zeek gibi Ağ İzinsiz Giriş Tespit Sistemleri (NIDS) “maskelenmiş” WebSocket protokol mesajlarını dinamik olarak çözebilir (komut dosyası aracılığıyla) ve Drovorub istemcisi, aracı ve sunucu bileşenleri arasındaki C2 mesajlarını tanımlayabilir. Önlem olarak NSA, en son Linux güncellemelerinin yüklenmesini ve mevcut en son yazılım sürümlerinin çalıştırılmasını öneriyor. Ayrıca, sistem yöneticileri, makinelerin en azından çekirdek imzalama zorunluluğu sunan Linux Kernel 3.7’yi çalıştırdığından emin olmalıdır.
