АНБ выпустило предупреждение о шпионских операциях российской разведки (ГРУ) с использованием ранее не известного вредоносного инструментария для ОС на базе ядра Linux под названием «Дроворуб».
АНБ, совместно с ФБР, опубликовало технический отчет, в котором подробно описываются возможности «Дроворуба» и предлагаются действия по обнаружению и профилактике. Агентство сообщило, что в состав фреймворка входит модуль ядра rootkit, который затрудняет его обнаружение с помощью традиционных решений по безопасности.
Вредоносная структура имеет различные модули, обеспечивающие скрытность, стойкость и полный доступ к зараженной машине с наивысшими привилегиями. Клиентская сторона вредоносного ПО может напрямую взаимодействовать с инфраструктурой C&C, имеет возможности загрузки/загрузки файлов, выполняет произвольные команды с привилегиями ‘root’, а также может пересылать сетевой трафик на другие машины в сети.
Согласно АНБ, руткит успешно скрывается на заражённой машине и выдерживает перезагрузку, если не включен режим Secure Boot в UEFI.
Отчет АНБ описывает технические детали для каждого модуля «Дроворуба», которые взаимодействуют друг с другом через JSON WebSocket API и шифруют трафик с помощью RSA.
И АНБ, и ФБР приписывают вредоносную программу 85-му Главному спецподразделению (ГЦСС ГРУ Генштаба РФ), воинская часть №26165.
