L’Agence nationale de sécurité nationale américaine et le Bureau fédéral d’investigation ont publié un avis Cybersecurity concernant la
Drovorub codes.
Conformément à l’avis de sécurité,
Drovorub est un ensemble d’outils logiciels malveillants (malwares) Linux consistant en un implant couplé avec les éléments suivants :
- Un module du noyau rootkit
- Outil de transfert de fichiers et de transfert de ports
- Serveur de commande et de contrôle (C2)
Lorsqu’il est déployé sur un système infecté, le
Drovorub implant (client) offre la possibilité de communiquer directement avec une infrastructure C2 sous contrôle d’acteur, ce qui permet de procéder aux opérations suivantes :
- Fonctionnalités de téléchargement de fichiers et de chargement
- Exécution de commandes arbitraires en tant que initiale
- Transfert du trafic réseau vers d’autres hôtes du réseau.
Pour empêcher qu’un système soit vulnérable à
Drovorub's le masquage et la persistance, les administrateurs système doivent effectuer une mise à jour vers Linux noyau 3.7 ou version ultérieure pour tirer pleinement parti de la mise en œuvre de la signature du noyau. De plus, les propriétaires de systèmes sont invités à configurer les systèmes pour charger uniquement les modules avec un signature numérique valide. Cette action complique l’introduction d’un module de noyau malveillant dans le système par un acteur.
Pour plus d'informations, consulter :