banner23

banner26

banner24

FBI ve NSA, yeni Rus kötü amaçlı yazılımını keşfetti

FBI ve NSA, Rusya tarafından geliştirilen Drovorub isimli kötü amaçlı yazılımı ortaya çıkardı.

SİBER GÜVENLİK 17.08.2020, 11:52
FBI ve NSA, yeni Rus kötü amaçlı yazılımını keşfetti
banner34

FBI ve NSA, Rus devlet korsanları tarafından kullanılan yeni Linux tabanlı kötü amaçlı yazılım Drovorub'u keşfetti.

FBI ve NSA bugün iki güvenlik ajansının araştırmaları sonucu bulunan, Rusya'nın askeri bilgisayar korsanları tarafından saldırılarda kullanılmak amacıyla geliştirilip konuşlandırıldığını belirttikleri yeni bir Linux tabanlı kötü amaçlı yazılım türü hakkında ayrıntılar içeren ortak bir güvenlik uyarısı yayınladı.

Kurumlardan yapılan açıklamalarda Rus bilgisayar korsanlarının Drovorub adlı kötü amaçlı yazılımı, saldırıya uğramış ağlara arka kapılar yerleştirmek için kullandıklarını belirtti.

FBI ve NSA yetkilileri iki ajansın topladığı kanıtlara dayanarak kötü amaçlı yazılımın, Rus Genelkurmay Ana İstihbarat Müdürlüğü'ne (GRU) bağlı 85. Ana Özel Hizmet Merkezi'nin (GTsSS) 26165 numaralı askeri birliğinden çalışan bilgisayar korsanlarına verilen bir kod adı olan APT28'in (Fantazi Ayısı, Sednit) işi olduğunu iddia ediyor.

İki kurum da ortak uyarıları ile ABD'deki özel ve kamu sektörlerinde farkındalık yaratmayı ve bu sayede de sektörlerdeki bilişim teknolojileri yöneticilerinin tespit ve önleme tedbirlerini hızlı bir şekilde uygulayabilmesini amaçlıyor.

Drovorub: APT28'in Linux sistemlerini hacklemek için kullandığı İsviçre çakısı olarak biliniyor

İki kurumun yaptığı açıklamalara göre Drovorub, bir implant, bir çekirdek modüllü kök kiti, bir dosya aktarım aracı, bir bağlantı noktası yönlendirme modülü ve bir komut ve kontrol (C2) sunucusuyla birlikte gelen çok bileşenli bir sistem.

McAfee CTO'su Steve Grobman bugün ZDNet'e yazmış olduğu bir e-postada "Drovorub saldırganın dosyaları çalmak ve kurbanın bilgisayarını uzaktan kontrol etmek gibi birçok farklı işlevi yerine getirmesine olanak tanıyan bir İsviçre çakısı." dedi.

McAfee yöneticisi Drovorub'un bu yeteneklerine ek olarak, algılanmayı zorlaştıran gelişmiş 'rootkit' teknolojileri de kullanılarak özel olarak tasarlandığını ve gizlilik unsurunun operatörlerin kötü amaçlı yazılımı birçok farklı hedef türüne yerleştirmelerine izin vererek her istedikleri an ve zamanda saldırı yapmalarına olanak tanıdığını açıkladı.

Grobman "ABD potansiyel siber saldırılara hedef olma açısından çok zengin bir ülke. Drovorub'un hedefleri raporda belirtilmedi ancak bunlar endüstriyel casusluktan seçimlere müdahaleye kadar uzanan geniş bir çerçevede değişebilir." dedi.

"NSA ve FBI tarafından bugün yayınlanan APT28'in Drovorub araçlarıyla alakalı teknik detaylar Amerika Birleşik Devletleri'ndeki siber güvenlik sektörü için oldukça değerli." diye de ekledi.

Saldırıları önlemek için ABD kuruluşlarının APT28 korsanlarının Drovorub'un kök setini yüklemesini önleyen bir güvenlik özelliği olan "çekirdek imzalama uygulamalarından tam anlamıyla yararlanmak amacıyla" ellerindeki Linux sistemlerini 3.7 veya sonraki bir sürümünü çalıştıran bir sürüme güncellemeleri öneriliyor.

Ortak güvenlik uyarısı olarak yayınlanan belge Volatilite çalıştırma, dosya gizleme davranışı için araştırmaları, Snort i ve Yara kuralları hakkında kılavuzlar içeriyor. Tamamı uygun tespit önlemlerinin uygulanması için yararlı olarak görülmekte.

45 sayfalık güvenlik uyarısından topladığımız bazı ilginç ayrıntılar ise şunlar:

Drovorub adı, bizzat üretici olan APT28'in kötü amaçlı yazılımları için kullandığı isim olarak biliniyor, NSA veya FBI tarafından atanan ad değil.

Adı, "yakacak odun" veya "odun" anlamına gelen drovo дрово ve "düşmek" veya "doğramak" anlamına gelen rub [руб]' dan gelmekte.

FBI ve NSA, Rus bilgisayar korsanlarının farklı işlemler gerçekleştirirken aynı sunucuları tekrar tekrar kullanmaları sebebiyle Drovorub'u APT28 grubuna bağlayabildiklerini söyledi. Örnek olarak, Drovorub'un 2019 baharında IoT cihazlarını hedefleyen APT28 işlemleri için kullanılan bir C&C sunucusuna bağlı olduğunu iddia ediliyor. Bu IP adresi daha önce de Microsoft tarafından saldırılarda kullanıldığı belgelenmiş bir adres olarak biliniyor.

26°
az bulutlu