Agência de Segurança Nacional está alertando sobre as operações de espionagem do Russian Intelligence Directorate (GRU) usando um conjunto de ferramentas de malware Linux anteriormente não divulgado, chamado Drovorub.
A estrutura maliciosa tem vários módulos que garantem sigilo, persistência e acesso completo à máquina comprometida com os mais altos privilégios.
O lado do cliente do malware pode se comunicar diretamente com a infraestrutura C2 do agente da ameaça, tem recursos de upload / download de arquivos, executa comandos arbitrários com privilégios de ‘raiz’ e pode encaminhar o tráfego de rede para outras máquinas na rede.
De acordo com o relatório, o rootkit é muito bem-sucedido em se esconder em uma máquina infectada e sobrevive a reinicializações “a menos que a inicialização segura UEFI [Unified Extensible Firmware Interface] esteja habilitada no modo” Completo “
Uma das recomendações é habilitar o mecanismo de verificação de inicialização segura UEFI (aplicação completa ou completa), que permite que apenas módulos de kernel legítimos sejam carregados. No entanto, isso não protege contra a vulnerabilidade BootHole divulgada recentemente até que uma atualização DBX permanente surja.
Fonte: Bleeping