Conoce el Malware Drovorub: Una Amenaza a la Seguridad de Linux por Parte de la Inteligencia Rusa

#Ciberseguridad #Malware #Drovorub #Linux #NSA #FBI #AmenazasCibernéticas #SeguridadInformática #Rootkit #GRU

La Agencia de Seguridad Nacional (NSA) y el Buró Federal de Investigaciones (FBI) de Estados Unidos emitieron en agosto de 2020 una advertencia conjunta sobre Drovorub, un malware altamente sofisticado desarrollado por el GRU (Dirección Principal de Inteligencia de Rusia) y específicamente utilizado por su 85° Centro de Servicios Especiales (GTsSS). Este malware representa una amenaza crítica para sistemas Linux y busca persistir en dispositivos comprometidos para ejecutar espionaje y actividades maliciosas.

¿Qué es Drovorub? Descarga el documento aquí

Drovorub es un conjunto de herramientas de malware diseñado específicamente para Linux y consiste en varios componentes que incluyen:

1. Drovorub-client: El componente principal que infecta el sistema objetivo, permitiendo la transferencia de archivos, acceso remoto y comunicación directa con un servidor de control.

2. Drovorub-kernel module: Un rootkit que oculta el malware, haciéndolo difícil de detectar.

3. Drovorub-agent: Facilita el traspaso de archivos y tráfico entre sistemas comprometidos.

4. Drovorub-server: Gestiona los comandos y controla la operación remota desde una infraestructura externa.

Funcionamiento y Propósito de Drovorub

Drovorub permite al GTsSS obtener control completo sobre sistemas Linux infectados. Ofrece capacidades como descarga y subida de archivos, ejecución de comandos con privilegios de administrador, y redireccionamiento de tráfico de red. Drovorub también utiliza un sofisticado sistema de enmascaramiento para ocultar su presencia, haciendo que sus artefactos sean difíciles de identificar con herramientas comunes de seguridad.

Cómo Detectar Drovorub

A pesar de sus avanzadas técnicas de evasión, existen métodos efectivos para identificar Drovorub en sistemas infectados:

• Análisis de memoria: Uso de herramientas como Volatility para identificar artefactos escondidos en memoria.

• Inspección de red: Monitorización de tráfico para detectar patrones de comunicación asociados.

• Snort y Yara Rules: Reglas específicas incluidas en la asesoría para detección en tiempo real.

Medidas de Prevención

Para proteger los sistemas de Drovorub, se recomienda actualizar a Linux Kernel 3.7 o versiones posteriores y habilitar la firma digital de módulos. Estas medidas ayudan a bloquear la introducción de módulos de kernel no confiables, dificultando la persistencia del malware en los sistemas.

Conclusión

Drovorub representa una amenaza significativa, en especial para las infraestructuras de seguridad nacional y defensa. Implementar estas recomendaciones puede reducir los riesgos de infección y garantizar que los sistemas sean menos vulnerables a estas técnicas de infiltración avanzada.