La Agencia de Seguridad Nacional de Estados Unidos (NSA) y la Oficina Federal de Investigaciones (FBI) expusieron un complejo caso de piratería asociado a hackers rusos que están afectando la ciberseguridad mundial con la instalación de peligrosos malwares.
Según ambos organismos de inteligencia, la Dirección Principal de Inteligencia de Rusia, conocida como GRU, estaba usando un código de herramienta de piratería llamado «Drovorub» para ingresar a computadoras basadas en Linux.
“La información contenida en este Aviso de seguridad cibernética se divulga públicamente para ayudar a los propietarios del Sistema de Seguridad Nacional y al público a contrarrestar las capacidades del GRU, una organización que continúa amenazando a los Estados Unidos y sus aliados como parte de su comportamiento deshonesto, incluida su interferencia en las elecciones presidenciales de Estados Unidos de 2016”, dijeron la NSA y el FBI en el informe.
Steve Grobman, director de tecnología de la compañía de ciberseguridad McAfee, fue entrevistado por Reuters para dar más alcance de lo que significa este ataque.
“Drovorub es una ‘navaja suiza’ de capacidades que permite al atacante realizar muchas funciones diferentes, como robar archivos y controlar remotamente la computadora de la víctima”, sostuvo el experto.
En un comunicado, tanto el FBI como la NSA recuerdan que, «el malware representa una amenaza porque los sistemas Linux se utilizan de manera generalizada en los Sistemas de Seguridad Nacional, el Departamento de Defensa y la Base Industrial de Defensa. Todas las partes interesadas deben tomar las medidas necesarias».
El malware Drovorub consta de varios componentes, dijeron la NSA y el FBI, incluido un implante, un módulo raíz del kernel, una herramienta de transferencia de archivos y un servidor de comando y control controlado por el atacante.
“Cuando se implementa en una máquina víctima, el implante Drovorub (cliente) proporciona la capacidad de comunicaciones directas con la infraestructura C2 controlada por el actor; capacidades de carga y descarga de archivos; ejecución de comandos arbitrarios como ‘root’; y reenvío de puertos del tráfico de la red a otros hosts en la red ”, dijeron la NSA y el FBI.
