NSA と FBI は、Fancy Bear チームと呼ばれることが多いロシア政府のハッカーが使用している危険な新種の Linux マルウェアについて警鐘を鳴らしている。
木曜日、米国政府は、正式名称を第85主要特殊任務センター(GTsSS)とするこの悪質な組織が、ロシア情報総局(GRU)傘下で活動していると明言しました。問題のソフトウェアはDrovorubで、Linuxシステムに感染し、制御権を奪い、ファイルを盗み出すために設計されたルートキットです。これはクレムリンにとって非常に重要な特定の標的に対して使用されるため、パニックになる前に、この点を念頭に置いてください。
GRUは信じないだろう:英国と米国は昨年のジョージアへのサイバー攻撃についてロシアを非難
続きを読む
NSAとFBIは、マルウェアの詳細な分析[PDF]の中で、「被害者のマシンに導入されると、Drovorubインプラント(クライアント)は、攻撃者が制御するC2[コマンドアンドコントロール]インフラストラクチャとの直接通信、ファイルのダウンロードとアップロード、ルートとしての任意のコマンドの実行、ネットワーク上の他のホストへのネットワークトラフィックのポート転送機能を提供する」と述べている。
この悪意あるコードの特に厄介な点は、オペレーティングシステムの中核で動作するカーネルモジュールです。このモジュールはカーネルにフックしてシステムコールを傍受・フィルタリングするため、ユーザー、管理者、そして自動ウイルス対策ツールはディスク上のファイルやその活動を観察できません。しかし、その兆候を注意深く探せば、検出不可能ではないようです。
「Drovorubマルウェアの活動は、複数の相補的な検出技術によって効果的に特定できる」と両機関は述べている。「しかし、Drovorubカーネルモジュールは、大規模なライブレスポンスに一般的に使用されるツールからDrovorubの痕跡を隠すため、ホスト上での大規模な検出には課題をもたらす。」
ファンシーベアのチームがこのような攻撃を仕掛けるのは当然と言えるでしょう。APT28やストロンチウムとしても知られるこの軍事組織は、過去の活動から判断すると、一般的なハッカー集団よりもはるかに洗練され、組織化されています。
...Drovorub カーネル モジュールは大規模な検出に課題をもたらします...
FBIとNSAは作戦のこの側面については議論しなかったが、ファンシーベアのチームは、外国政府、技術設計図、商業取引、機密情報(いわゆるコンプロマート)など、クレムリンが関心を持つ極めて価値の高い分野に取り組む傾向がある。
最も注目すべきは、この組織が2016年の大統領選挙を前にした米民主党のコンピューターへの侵入、および2019年の世界アンチ・ドーピング機関への攻撃に関与していたことだ。
米国政府機関からのアドバイスは、信頼できない、あるいは想定外のカーネルモジュールをブロックし、Linuxインストールを常に最新の状態に保ち、カーネル署名を強制することです。そして、カーネルバージョンは3.7以降を使用するようにとのことです。これは、万が一コンピュータにこの脆弱性が見つかった場合に、検出できる可能性を高めるためです。
これらの対策だけでは、Fancy BearがDrovorubをネットワークに侵入させるために利用するスピアフィッシング攻撃やゼロデイ脆弱性から身を守ることはできません。GRUの標的になる可能性がある場合は、こうした攻撃を防御または最小限に抑える方法を自ら考え出す必要があります。
連邦政府は勧告の中で、この助言は「初期のアクセス経路から保護することを意図したものではない。緩和策は、ドロボルブの持続性と隠蔽技術の防止のみを目的としている」と指摘した。®
