Вы используете устаревший браузер!

Страница может отображаться некорректно.

Шпиономания

Шпиономания

Другие выпуски этой рубрики (55)
  • добавить в избранное
    Добавить в закладки

иГРУшки

Прочитали: 21083 Комментариев: 37 Рейтинг: 66

6 октября 2020

Американские спецслужбы не дремлют:

Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб» (Drovorub).

Источник

Обратим внимание на слово «используется»: оно говорит о том, что угроза актуальна и от нее надо защититься. Но так ли это?

После установки выполняются следующие операции:

  • загружается модуль ядра, который регистрирует хуки для системных вызовов;
  • клиент выполняет регистрацию в модуле ядра;
  • модуль ядра скрывает работающий процесс клиента и его исполняемый файл на диске.

Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.

Как видно из описания, драйвер предназначен для обеспечения невидимости самой вредоносной программы. Которая, опять же судя по описанию, может делать в системе все, что нужно ВС РФ. Но обратим внимание на слово «драйвер». Загрузка драйвера означает:

  1. Раз драйвер уже загружен на машину, предварительно она была взломана.
  2. У злоумышленников есть права и возможности для загрузки драйвера.

А теперь самое забавное. Как отмечается, Drovorub использует неподписанные модули ядра Linux. Начиная с версии ядра 3.7 проверка подписи модуля включена по умолчанию. А значит, у найденной ФБР и АНБ программы есть две возможности:

  1. Атаковать системы с ядром до 3.7.
  2. После внедрения в систему отключить проверку подписи.

Подпись модуля включается в файле конфигурации ядра, начиная с версии ядра 3.7, вы можете отключить ее, запустив make menuconfig в исходном каталоге ядра и отменив выбор параметра проверки подписи модуля в параметре меню «Включить загружаемый модуль ядра». После этого вам придется перекомпилировать ядро.

Источник

То есть проверка подписи не отключается по мановению руки. Надо пересобрать ядро (не самая незаметная операция, предполагающая наличие исходников ядра на атакованной машине, а также средств разработки для самой перекомпиляции) и перезагрузить машину, чтобы она начала использовать новое ядро. Это не считая редактирования меню загрузки для указания в нем нового ядра и возможных «глюков» с пересобранным ядром.

Получается, остается вариант, что под угрозой – системы с ядром ниже 3.7?

Ядро Linux 3.6 было выпущено восемь лет назад.

Полагаю, если вы все еще используете устаревшую версию Red Hat Enterprise Linux (RHEL) 6, вам, возможно, придется беспокоиться. Конечно, исправление для подписи модулей ядра Linux доступно для RHEL 6 с 2012 года. Кроме того, большинство людей используют дистрибутивы Linux, которые немного новее.


На самом деле, давайте составим небольшой список лучших производственных дистрибутивов Linux:


CentOS / RHEL 7 запускается с ядром 3.10.

Debian 8 запускался с ядром 3.16.

Ubuntu 13.04 начиналась с ядра 3.8.

SUSE Linux 12.3 запускался с ядром 3.7.10.


Все эти старые дистрибутивы начали жизнь невосприимчивыми к этой атаке. Все последние версии Linux неуязвимы для этого вредоносного ПО.

Источник

Как видим, атакующие могут найти такую систему. Но крайне вряд ли уязвимы окажутся современные компании – а именно они наверняка интересуют предполагаемых авторов программы.

Но это еще не все. Вернемся к тому, что для установки драйвера в систему, да и для его загрузки, нужны права:

Как указывает группа безопасности Red Hat, «злоумышленники [должны] получить привилегии root, используя другую уязвимость, перед успешной установкой».

И снова для того, чтобы Linux был скомпрометирован - чтобы ваша система получила дозу Drovorub - ваша система уже должна быть полностью взломана.

Источник

Тогда о чем речь? Если система взломана, то речь не о страшных вирусописателях из вооруженных сил РФ, а об админах, которые:

  • используют древние системы;
  • используют простые пароли;
  • не закрывают уязвимости.

Три составляющих для небезопасности вашей системы!

Перейдем к выводам. Но сначала:

>Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ)

А я-то уж подумал, что наконец-то, в 2020-м году ЦРУ и ФБР заметили, что ГРУ уже 15 лет как не существует, но нет. Про это знает только автор новости, в исходном документе на английском сплошное ГРУ.

Это всё, что нам нужно знать о связи этих агентств с реальностью.

Источник

А теперь собственно варианты выводов.

  1. ФБР и АНБ нашли что-то старое и, поскольку пиариться нужно, опубликовали. На это намекают уж больно ограниченные возможности по использованию трояна. Плюс отсутствие подробностей про взлом – например, как получили нужные права.

  2. «Ну и выборы не за горами опять же... Новичок, ой, то есть Дроворуб как раз кстати». Внутриполитическая борьба, на что намекает использование аббревиатуры ГРУ, известной обывателю.

    На ту же тему:

    По данным New York Times, группа, известная как «подразделение 29155», действовала по меньшей мере десять лет. Впервые его выявили в 2016 году после неудавшегося госпереворота в Черногории, однако «масштабы деятельности западные спецслужбы осознали» только после отравления Скрипалей в 2018 году. Подразделение якобы размещается в московской штаб-квартире 161-го учебного центра специального назначения.

    …Еще один объект в\ч 29155 до начала 2000-х годов числился на балансе ФСБ в Серебряном Бору (склады обычные), но затем был ликвидирован постановлением правительства Москвы в числе еще двух десятков объектов в курортно-парковой зоне в ходе ее реконструкции.

    Источник

  3. На самом деле нашли троян в какой-то замшелой организации (не стоит думать, что в США вся безопасность безопасна).

#Linux #взлом #вирусописатель #корпоративная_безопасность #миф #троянец

Антивирусная правДА! рекомендует

Обновляйте систему вовремя и не верьте новостям, достоверность которых вы проверить не можете.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии