Drovorub: un malware (russo?) per Linux scoperto dall’NSA e dall’FBI

Si chiama Drovorub ed è un malware sviluppato da hacker russi in grado di generare backdoor su reti violate, questo almeno quanto affermano, congiuntamente, le due agenzie americane FBI (Federal Bureau Investigation) e NSA (National Security Agency).

Nella notizia riportata da ZDNet, appare chiaro come il gruppo Sofacy, apparentemente legato agli ambienti spionistici russi, abbia sviluppato questo potente coltellino svizzero per l’hacking, costituito da più parti in grado di rubare file, aprire porte remote e controllare remotamente i computer infetti.

Ciliegina sulla torta l’avanzata capacità stealth del malware, in grado di sfuggire ai comuni metodi di rilevamento. Steve Grobman, CTO di McAfee, scrivendo a ZDNet, non sminuisce la minaccia:

The United States is a target-rich environment for potential cyber-attacks. The objectives of Drovorub were not called out in the report, but they could range from industrial espionage to election interference

Gli Stati Uniti sono un ambiente ricco di obiettivi per potenziali attacchi informatici. Gli obiettivi di Drovorub non sono stati richiamati nel rapporto [dell’FBI e dell’NSA], ma potrebbero andare dallo spionaggio industriale alle interferenze elettorali.

Insomma, massima allerta.

Fortunatamente però i rimedi al problema sono già disponibili, primo fra tutti avere una versione installata di Kernel superiore alla 3.7, il che non dovrebbe essere estremamente complicato per infrastrutture un minimo aggiornate (per intenderci CentOS 7 monta il Kernel 3.10 e Ubuntu 18.04 il 4.15).

Ma tutti sanno come supporre le cose, soprattutto in ambito sicurezza, non sia mai la scelta più felice.

Quindi, una controllatina ai Kernel installati nella rete non guasta, fosse anche solo per non dire “tutto a posto”.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

7 risposte a “Drovorub: un malware (russo?) per Linux scoperto dall’NSA e dall’FBI”

  1. Avatar Francesco Crimi
    Francesco Crimi

    Un malware che sfrutta una falla non più presente nel kernel almeno dal 2014 fa gridare allo scandalo il CTO di McAfee che ne n perde l’occasione per creare FUD e contemporaneamente fare una marchetta a quell’altra scimmia danzerina che hanno come presidente. Come mai l’informativa mondiale e caduta così in basso. Bohhh

  2. Avatar Francesco Crimi
    Francesco Crimi

    Cos’altro deve accadere per riuscire a capire che bisogna cambiare paradigma e passare alle rolling release anche in ambienti server ed embedded, le falle ci sono e continueranno ad esserci sempre, l’unico modo per attutire il fanno e stare sempre sul pezzo, ovvero aggiornare aggiornare aggiornare sempre e dapertutto e neanche solo il kerne,l anzi

  3. Avatar sabayonino
    sabayonino

    Rolling release non è nemmeno sinonimo di sicurezza.
    Anche l’ultimo software aggiornato tappa vecchie falle , ma di sicuro ne avrà di nuove ; devono solo essere scovate.

  4. Avatar Francesco Crimi
    Francesco Crimi

    Hai pienamente ragione, ma se nel frattempo che le scoviamo tutte, tappiamo quelle conosciute, quantomeno gli rendiamo la vita più difficile, non è furbo usare software stagionato, a qualsiasi livello, in nome di una speudo stabilità che fa acqua da tutte le parti

  5. Avatar sabayonino
    sabayonino

    Le patch di sicurezza vengono emesse anche per il software un pò “stagionato”.
    Vedi Firefox ESR . Non vengono introdotte le novità , ma le patch di sicurezza applicate sono le medesime delle versioni giornaliere (nightly build , penso sia per il fuso orario 😀 )

    Edit :questa patch della firma dei moduli è utilizzata fin dal 2007.
    E (era) una patch esterna al kernel , utilizzata da RHL e compagnia bella.
    Ora è inclusa nel kernel stesso , o quanto meno una sua rivisitazione. in 13 anni credo sia stata rivoltata come una frittata.
    Il problema segnalato , credo sia rivolto al fatto che prima del kernel 3.7 , i moduli caricati nel kernel non erano controllati (o firmati digitalmente) per cui qualsiasi modifica poteva essere effettuata all’insaputa del sysadmin di turno.
    In pratica qualsiasi modulo “hackerato” aveva la possibilità di essere caricato nel kernel , sia in fase di avvio che dopo ed esser preso per “buono” dal sistema.
    Il modulo caricato così in memoria poteva essere un qualsiasi spyware,backdoor, o quel che volete, dando accesso lle risorse della macchina.

  6. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Mah, al netto di potenziali marchette di McAfee mi sento di dire che, purtroppo, il problema è potenzialmente presente in molti, troppi ambienti che oggi erogano servizi. O almeno, questo è quanto verifichiamo quotidianamente occupandoci di sistemi.

  7. Avatar JustATiredMan
    JustATiredMan

    e magari fosse così semplice…. sai quanti aggeggi e miniserver dedicati a qualcosa, montano ancora vecchi kernel ?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *