иГРУшки
seshanba, 6-oktabr, 2020
Американские спецслужбы не дремлют:
Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ) используется комплекс вредоносного ПО под названием «Дроворуб» (Drovorub).
Обратим внимание на слово «используется»: оно говорит о том, что угроза актуальна и от нее надо защититься. Но так ли это?
После установки выполняются следующие операции:
- загружается модуль ядра, который регистрирует хуки для системных вызовов;
- клиент выполняет регистрацию в модуле ядра;
- модуль ядра скрывает работающий процесс клиента и его исполняемый файл на диске.
Клиентская часть может скачивать и выгружать файлы, выполнять произвольные команды от имени пользователя root и перенаправлять сетевые порты на другие узлы сети.
Как видно из описания, драйвер предназначен для обеспечения невидимости самой вредоносной программы. Которая, опять же судя по описанию, может делать в системе все, что нужно ВС РФ. Но обратим внимание на слово «драйвер». Загрузка драйвера означает:
- Раз драйвер уже загружен на машину, предварительно она была взломана.
- У злоумышленников есть права и возможности для загрузки драйвера.
А теперь самое забавное. Как отмечается, Drovorub использует неподписанные модули ядра Linux. Начиная с версии ядра 3.7 проверка подписи модуля включена по умолчанию. А значит, у найденной ФБР и АНБ программы есть две возможности:
- Атаковать системы с ядром до 3.7.
- После внедрения в систему отключить проверку подписи.
Подпись модуля включается в файле конфигурации ядра, начиная с версии ядра 3.7, вы можете отключить ее, запустив make menuconfig в исходном каталоге ядра и отменив выбор параметра проверки подписи модуля в параметре меню «Включить загружаемый модуль ядра». После этого вам придется перекомпилировать ядро.
То есть проверка подписи не отключается по мановению руки. Надо пересобрать ядро (не самая незаметная операция, предполагающая наличие исходников ядра на атакованной машине, а также средств разработки для самой перекомпиляции) и перезагрузить машину, чтобы она начала использовать новое ядро. Это не считая редактирования меню загрузки для указания в нем нового ядра и возможных «глюков» с пересобранным ядром.
Получается, остается вариант, что под угрозой – системы с ядром ниже 3.7?
Ядро Linux 3.6 было выпущено восемь лет назад.
Полагаю, если вы все еще используете устаревшую версию Red Hat Enterprise Linux (RHEL) 6, вам, возможно, придется беспокоиться. Конечно, исправление для подписи модулей ядра Linux доступно для RHEL 6 с 2012 года. Кроме того, большинство людей используют дистрибутивы Linux, которые немного новее.
На самом деле, давайте составим небольшой список лучших производственных дистрибутивов Linux:
CentOS / RHEL 7 запускается с ядром 3.10.
Debian 8 запускался с ядром 3.16.
Ubuntu 13.04 начиналась с ядра 3.8.
SUSE Linux 12.3 запускался с ядром 3.7.10.
Все эти старые дистрибутивы начали жизнь невосприимчивыми к этой атаке. Все последние версии Linux неуязвимы для этого вредоносного ПО.
Как видим, атакующие могут найти такую систему. Но крайне вряд ли уязвимы окажутся современные компании – а именно они наверняка интересуют предполагаемых авторов программы.
Но это еще не все. Вернемся к тому, что для установки драйвера в систему, да и для его загрузки, нужны права:
Как указывает группа безопасности Red Hat, «злоумышленники [должны] получить привилегии root, используя другую уязвимость, перед успешной установкой».
И снова для того, чтобы Linux был скомпрометирован - чтобы ваша система получила дозу Drovorub - ваша система уже должна быть полностью взломана.
Тогда о чем речь? Если система взломана, то речь не о страшных вирусописателях из вооруженных сил РФ, а об админах, которые:
- используют древние системы;
- используют простые пароли;
- не закрывают уязвимости.
Три составляющих для небезопасности вашей системы!
Перейдем к выводам. Но сначала:
>Агентство национальной безопасности и Федеральное бюро расследований США опубликовали отчёт, согласно которому 85-м главным центром специальной службы ГУ ГШ ВС РФ (85 ГЦСС ГРУ)
А я-то уж подумал, что наконец-то, в 2020-м году ЦРУ и ФБР заметили, что ГРУ уже 15 лет как не существует, но нет. Про это знает только автор новости, в исходном документе на английском сплошное ГРУ.
Это всё, что нам нужно знать о связи этих агентств с реальностью.
А теперь собственно варианты выводов.
ФБР и АНБ нашли что-то старое и, поскольку пиариться нужно, опубликовали. На это намекают уж больно ограниченные возможности по использованию трояна. Плюс отсутствие подробностей про взлом – например, как получили нужные права.
«Ну и выборы не за горами опять же... Новичок, ой, то есть Дроворуб как раз кстати». Внутриполитическая борьба, на что намекает использование аббревиатуры ГРУ, известной обывателю.
На ту же тему:
По данным New York Times, группа, известная как «подразделение 29155», действовала по меньшей мере десять лет. Впервые его выявили в 2016 году после неудавшегося госпереворота в Черногории, однако «масштабы деятельности западные спецслужбы осознали» только после отравления Скрипалей в 2018 году. Подразделение якобы размещается в московской штаб-квартире 161-го учебного центра специального назначения.
…Еще один объект в\ч 29155 до начала 2000-х годов числился на балансе ФСБ в Серебряном Бору (склады обычные), но затем был ликвидирован постановлением правительства Москвы в числе еще двух десятков объектов в курортно-парковой зоне в ходе ее реконструкции.
На самом деле нашли троян в какой-то замшелой организации (не стоит думать, что в США вся безопасность безопасна).
#Linux #взлом #вирусописатель #корпоративная_безопасность #миф #троянец
Антивирусная правДА! рекомендует
Обновляйте систему вовремя и не верьте новостям, достоверность которых вы проверить не можете.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Alex Kad
14:31:18 2020-10-12
Это называется клюква с современными технологиями ..
wolfie_nj
18:36:49 2020-10-11
Filip_s
21:38:20 2020-10-07
achemolganskiy
13:35:56 2020-10-07
Неуёмный Обыватель
02:57:50 2020-10-07
Lia00
00:58:02 2020-10-07
Альфа
22:58:38 2020-10-06
tigra
21:58:14 2020-10-06
Dvakota
21:37:46 2020-10-06
Masha
21:19:56 2020-10-06
anatol
20:09:37 2020-10-06
ka_s
20:00:41 2020-10-06
vkor
18:57:54 2020-10-06
Геральт
18:46:02 2020-10-06
Karnegi
17:22:08 2020-10-06
admin_29
16:25:21 2020-10-06
Slava90
16:11:32 2020-10-06
ixtiyor10
16:02:49 2020-10-06
Татьяна
15:24:12 2020-10-06
Ну да, как же ... верю, верю, сам трепач!
Любитель пляжного футбола
14:29:58 2020-10-06
Денисенко Павел Андреевич
13:20:03 2020-10-06
runikot
12:37:10 2020-10-06
vinnetou
12:31:46 2020-10-06
Alexander
11:53:56 2020-10-06
И сказки у всех тоже разные, но в ЦРУ они особенные. Сочинительства им не занимать, но куда им до геббельсовской пропаганды и промывания мозгов. И особенно эти хайповики становятся активными в периоды своей слабости. Что-то в мире происходит, но им это уже неподвластно в той мере, как это было раньше. На их окрики обращают внимание всё меньше, но платить ещё пока продолжают...
P.S. ...вот и ГРУня из ГРУ поГРУзила ГРУппу ГРУбиянов в ГРУзовик с ГРУшами и куда-то отправила... Но бдительное ЦРУ это заметило, и пошло орать во всю ивановскую из всех своих заокеанских ГРУдей... А толку то?...
SGES
11:49:21 2020-10-06
orw_mikle
11:13:52 2020-10-06
L1t1um
10:37:33 2020-10-06
Alexey
10:10:05 2020-10-06
dyadya_Sasha
10:07:24 2020-10-06
Vlad X
09:27:04 2020-10-06
и в этом виновата Россия.
uropb
09:19:24 2020-10-06
CentOS - 4.18
Debian - 4.19
Ubuntu - 5.4
SUSE Linux - 5.3
Первые два известны своим консерватизмом, как обратной стороной надежности (только многократно проверенное допускается к выпуску), и то, про актуальность ядра 3.7 вспоминать не стоит.
DrKV
09:10:11 2020-10-06
А вообще, выпуск о том, что обновления системы - дело весьма полезное! О чём и гласят рекомендации.
Обновляйтесь, друзья!
GREEN
08:15:10 2020-10-06
Актуальность ОС своей "рабочей лошадки" однозначно должна быть, если есть что терять.
Что же касается новостей и их достоверности, то ...
«Верить в наше время нельзя никому. Порой даже самому себе»
Zserg
08:08:00 2020-10-06
maestro431
07:50:45 2020-10-06
Sergey
07:34:01 2020-10-06
Пaвeл
07:30:33 2020-10-06