FBI와 NSA, 러시아 해커들이 사용하는 새로운 리눅스 악성코드인 Drovorub 공개

FBI and NSA expose new Linux malware Drovorub, used by Russian state hackers

 

FBI와 NSA가 새로운 리눅스 악성코드 변종에 대한 정보를 포함한 공동 보안 권고문을 발행했습니다. 이들은 러시아 군사 해커가 개발해 실제 공격에서 배포되었다고 설명했습니다.

 

FBI와 NSA는 Drovorub로 명명된 이 악성코드가 해킹된 네트워크 내 백도어를 설치하기 위해 사용되었다고 밝혔습니다.

 

이 두 기관이 수집한 정보에 따르면, 이 악성코드는 APT28 (Fancy Bear, Sednit)의 소행으로 추측됩니다.

 

이 두 기관은 공동 경보를 통해 미국 민간 및 공공 부문에 대한 보안 인식을 높이고 IT 관리자가 탐지 규칙 및 예방 조치를 신속히 진행하기 바란다고 밝혔습니다.

 

Drovorub — 리눅스를 해킹하기 위한 APT28의 ‘맥가이버 칼’

 

두 기관에 따르면, Drovorub은 임플란트, 커널 모듈 루트킷, 파일 전송 툴, 포트 포워딩 모듈, C&C 서버를 포함한 멀티 컴포넌트 시스템입니다.

 

McAfree CTO인 Steve Grobman은 아래와 같이 언급했습니다.

“Drovorub은 공격자가 파일을 훔치고, 피해자의 컴퓨터를 원격으로 제어하는 등 다양한 기능을 수행할 수 있는 ‘맥가이버 칼’입니다.”

 

“Drovorub의 다양한 기능 이외에도 고급 ‘루트킷’ 기술을 통해 탐지가 어렵고 은밀히 활동하도록 설계되었습니다.”

 

<이미지 출처: https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF>

 

“미국은 잠재적으로 사이버 공격을 받을 타깃이 풍부한 환경입니다. Drovorub의 목적은 보고서에서 언급되지 않았지만 산업 스파이에서 선거 방해를 포함하여 범위가 넓을 것으로 보입니다.”

 

이들은 미국의 조직 관리자들에게 공격을 방어하기 위해 모든 리눅스 시스템을 커널 3.7 및 이후 버전을 사용하도록 업데이트 할 것을 권고했습니다. 3.7 및 이후 버전은 커널 서명을 강제화하여 APT28 해커가 Drovorub 루트킷을 설치할 수 없도록 막을 수 있습니다.

 

이 두 기관은 공동 보고서 [PDF]를 통해 이 악성코드를 적절히 방어할 수 있는 방법을 공개했습니다.

 

 

 

출처:

https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-hackers/

https://media.defense.gov/2020/Aug/13/2002476465/-1/-1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF