TLP: White
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red.
Impacto: Ejecución de código remoto.

Descripción

Un análisis realizado por dos agencias de seguridad en Estados Unidos ha identificado que el grupo de usuarios rusos conocido como APT 28, o también llamado “Fancy Bear” o “Sofacy” están implementando un nuevo programa llamado “Drovorub” para realizar actividades de espionaje contra sistemas Linux.

Los estudios afirman que Drovorub requiere privilegios de administrador para realizar sus actividades maliciosas, sin embargo, implementa técnicas de ocultación para evitar ser detectado en el dispositivo.

Drovorub es un conjunto de herramientas que se divide en cuatro componentes: Drovorub-server, Drovorub-client, Drovorub-agent, y el módulo Drovorub-kernel.

Drovorub-server es el programa instalado en la infraestructura del atacante y permite mandar instrucciones al dispositivo de la víctima. Este utiliza una base de datos para administrar los clientes y agentes que se conectan al servidor.

El componente Drovorub-client se instala en el dispositivo de la víctima, y es quien recibe los comandos del servidor de manera remota, además permite la transferencia de archivos. Este componente tiene un módulo del Drovorub-kernel que proporciona una capacidad de ocultamiento para evitar ser detectado.

Drovorub-kernel tiene la funcionalidad de rootkit y es el encargado de evitar ser detectado, es decir, implementa el ocultamiento, y tiene la capacidad de esconderse él mismo o bien, a otros archivos, directorios, puertos y sesiones de red específicos.

El componente Drovorub-agent se instala en el dispositivo de la víctima y este debe tener acceso a Internet, de manera general tiene la misma funcionalidad que el cliente, sin embargo, no cuenta con el módulo de Drovorub-kernel y tampoco permite la ejecución de código remoto, solo la transferencia de archivos.

Drovorub permite realizar diferentes actividades, ya que tiene implementado un rootkit, una herramienta de transferencia de archivos y un servidor Comando y Control (C&C). Es decir, cuando Drovorud es instalado en un dispositivo permite realizar actividades de espionaje, reenviar el tráfico de red a otro dispositivo o instalar programas maliciosos, debido a que permite la comunicación directa entre el atacante y el dispositivo de la víctima.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Linux

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con el programa reportado en esta alerta:

  • Direcciones IP
    • 185.86.150[.]205
    • 82.118.242[.]171
    • 185.86.149[.]125
  • Correos electrónicos
    • marco_knight[@]protonmail[.]com
    • melangeur1923[@]inbox[.]lv
    • caban2009[@]clovermail[.]net
  • Dominios
    • sportever[.]org
    • ignitereatlime[.]org
    • edgedns[.]info
    • ignitereatlime[.]org
    • wwwco4testmcsoft[.]com
    • ciscosupports[.]com

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Actualizar a la versión Linux Kernel 3.7.
  • Configurar los sistemas para permitir solo la carga de módulos con una firma digital válida.

Referencias