美国联邦调查局和美国国家安全局发布了一份联合报告，警告称俄罗斯黑客正在使用一种未知的Linux恶意软件偷偷潜入敏感网络，窃取机密信息，并执行恶意命令。

 

在一份来自政府机构的罕见的技术细节深度报告中，官员们说Drovorub恶意软件是一个功能齐全的工具包，直到最近才被发现。该恶意软件连接到一个为俄罗斯军事情报机构GRU工作的黑客组织运行的命令和控制服务器上。GRU与十多年来的大胆而先进的行动有关，其中许多行动对国家安全造成了严重破坏。

 

公布的“信息在这个网络安全咨询,协助国家安全系统所有者和公众应对格勒乌的功能,一个组织,继续威胁着美国和美国的盟友的流氓行为,包括它们的干扰在2016年美国总统选举中所描述的2017年的情报机构评估,评估俄罗斯在最近美国大选中的活动和意图(国家情报总监办公室，2017年)。”

 

隐身，强大，功能齐全

 

Drovorub工具集包括四个主要组件:感染Linux设备的客户机;一个内核模块，使用rootkit策略来获得持久性，并隐藏其存在的操作系统和安全防御;一个服务器，运行在攻击者操作的基础设施，以控制受感染的机器和接收窃取的数据;以及使用受损服务器或攻击控制机器作为受感染机器和服务器之间的中介的代理。

 

rootkit是一种恶意软件，它深入到操作系统内核中，阻止接口注册恶意文件或它们生成的进程。它还使用了各种其他技术，使感染对正常形式的防病毒不可见。Drovorub也不遗余力地伪装进出受感染网络的流量。

 

该恶意软件以不受约束的root特权运行，给予操作员对系统的完全控制。它有一个完整的功能菜单，沐鸣开户测速使一个恶意软件相当于瑞士军刀。

 

安全驾驶杀手

 

政府官员说，Drovorub得名于代码中无意留下的字符串。“Drovo”大致翻译为“木头”或“木柴”，而“rub”翻译为“摔”或“砍”。综合起来，政府说，Drovorub的意思是“樵夫”或“劈柴”。安全研究员德米特里·阿尔佩罗维奇(Dmitri Alperovitch)给出了不同的解释。他职业生涯的大部分时间都在调查俄罗斯的黑客活动，包括2016年针对民主党全国委员会的那次。

 

“这是一个恶意软件名字‘Drovorub’，@NSACyber指出，这个名字直接翻译成‘woodcutter’，”安全公司CrowdStrike的联合创始人、前CTO Alperovitch在Twitter上写道。“然而，更重要的是，‘Drova’在俄语中是‘驱动程序’的俚语，就像在内核驱动程序中一样。所以这个名字很可能是“(安全)司机杀手”的意思。

 

为俄罗斯的国家利益服务了十多年

 

除了Drovorub之外，APT 28已经拥有了大量已知的工具和战术。其他研究人员称这个俄罗斯军事黑客组织为Fancy Bear、锶、Pawn Storm、Sofacy、Sednit和沙皇团队。该组织的黑客活动服务于俄罗斯政府的利益，目标是克里姆林宫视为对手的国家和组织。

 

今年8月，微软报告称，该组织一直在侵入打印机、视频解码器和其他所谓的物联网设备，并将这些设备作为滩头阵地，渗透它们所连接的计算机网络。2018年，思科Talos集团的研究人员发现APT 28感染了54个国家的50多万台消费者级路由器，这些路由器可能会被用于一系列不法目的。

 

与APT 28相关的其他活动包括:

 

在2016年大选前入侵民主党全国委员会(以及另一个名为“安逸熊”(Cozy Bear)的俄罗斯组织)，然后散布具有破坏性的文件，以左右选民的意见

 

2016年世界反兴奋剂机构(World Anti-Doping Agency)遭黑客攻击

 

德国联邦议院

 

法国第五世界电视台

 

周四的公告没有指明Drovorub针对的是哪些组织，甚至没有对这些组织或它们所在的地理位置提供广泛的描述。报告也没有说明该恶意软件存在了多久，沐鸣开户测速迄今已知感染了多少病毒，以及黑客是如何感染服务器的。APT 28经常依靠恶意垃圾邮件或钓鱼攻击，感染电脑或窃取密码。该组织还利用了未打补丁的设备上的漏洞。

 

必读