web analytics

Drovorub, il nuovo malware per Linux made in Russia

drovorub fbi nsa mcafee malware rootkit

In questo documento, risultato della collaborazione tra NSA americana e FBI, si evidenzia una nuova minaccia per il pinguino. Drovorub è un toolset di malware, creato da un gruppo di spionaggio informatico russo, in grado di infettare i sistemi GNU/Linux.

Drovorub “taglialegna”, il coltellino svizzero dei malware per GNU/Linux

Secondo il documento rilasciato dalle agenzie americane, Drovorub sarebbe un malware di stato, realizzato dall’unità militare sovietica numero 26165 della Russian General Staff Main Intelligence Directorate (GRU) 85th Main SpecialService Center (GtsSS). Consente di effettuare molte operazioni di cracking avanzato, come il furto di dati o il controllo remoto del computer della vittima, ed è estremamente complesso da scovare all’interno del sistema.
drovorub fbi nsa mcafee malware rootkit
Drovorub può essere considerato come un aggregato di quattro componenti, ognuno con funzionalità specifiche e molto avanzate. Questi tool indipendenti, tra l’altro, sono in grado di scambiarsi dati sotto forma di Json via WebsSocket. In particolare i macro componenti sono:

  • Drovorub-client, per creare la comunicazione diretta con l’infrastruttura controllata dagli hacker;
  • Drovorub-kernel module, il rootkit vero e proprio;
  • Drovorub-agent, un tool per il trasferimento dei file e il port forwarding del traffico di rete;
  • Drovorub-server, per permettere il coordinamento e controllo del tutto.

Le mitigazioni da adottare

Il documento della NSA esplica, in maniera dettagliata, quali sono le azioni da porre in essere per mitigare la minaccia. In particolare è importante aggiornare il kernel Linux alla versione 3.7 o successiva. A partire da questa release, infatti, è stata introdotta una patch per introdurre le firme digitali dei moduli del kernel, impedendo così l’esecuzione dei moduli non firmati. Si richiede, quindi, anche l’attivazione dell’UEFI Secure Boot, per le ragioni di cui vi ho già parlato qui. Questa operazione, tra l’altro, comporta l’esclusione di molte distribuzioni non compatibili, sopratutto nelle versioni più datate.
drovorub fbi nsa mcafee malware rootkitIn aggiunta, è stato pubblicato anche questo documento da parte di McAfee, che evidenzia altre best practice da tener presente, ulteriori rispetto a quelle suggerite dalle fonti governative americane. Le principali regole da seguire sono:

  • Eseguire una scansione periodica per identificare rootkit, backdoor ed altri possibili exploit. I tool suggeriti sono Chrootkit e Rkhunter;
  • Abilitare SELinux;
  • Controllare l’accesso alle API;
  • Rimuovere il software non utilizzato, disabilitare i servizi superflui;
  • Fare un backup del proprio sistema.

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Altre storie
pinephone pro pine64
Smartphone Linux: Pine64 annuncia il nuovo PinePhone Pro