سازمان‌هاي امنيتي آمريكا درباره يكي از بدافزارهاي خطرناك لينوكس هشدار دادند

سازمان‌هاي امنيتي NSA و FBI در بيانيه‌اي مشترك، تهديد هكرهاي روسي را در سوءاستفاده از يكي از بدافزارهاي لينوكس جدي خواندند. آن‌ها در بيانيه‌‌شان به بدافزار لينوكسي ناشناخته‌اي اشاره مي‌كنند كه ظاهرا با هدف نفوذ به شبكه‌هاي حساس سوءاستفاده مي‌شوند. از متخصصدهاي سوء ديگر بدافزار مي‌توان به سرقت اطلاعات حساس و اجراي كدهاي مخرب در شبكه‌ها اشاره كرد.

گزارش جديد NSA و FBI جزئيات متخصص زيادي دارد كه براي گزارش منتشرشده‌ي نهادي امنيتي، نادر به‌انديشه متخصصين مي‌رسد. آن‌ها به بدافزاري موسوم به Drovorub در لينوكس اشاره مي‌كنند كه قابليت‌هاي بسيار زيادي دارد و تاكنون ناشناخته بوده است. بدافزار مذكور به سرورهاي فرمان و كنترلي متصل مي‌شود كه گروه GRU مدير و مالك آن است. GRU آژانس امنيتي ارتش روسيه است كه در يك دهه‌ي گذشته، در كمپين‌هاي امنيتي متعدد و نفوذهاي سايبري نقش ايفا كرده است. آمريكايي‌ها اين گروه را براي امنيت ملي كشور خود بسيار خطرناك مي‌دانند. بيانيه‌ي مشترك NSA و FBI مستقيما به GRU اشاره كرده و آن‌ها را به نفوذ در جريان انتخابات سال ۲۰۱۶ نيز متهم مي‌كند. به‌هرحال، سازمان‌هاي امنيتي بيانيه‌ي اخير خود را متمركز بر رفع تهديد گروه GRU مي‌دانند.

روت‌كيت به‌نوعي بدافزار گفته مي‌شود كه در لايه‌هاي كرنل سيستم‌عامل نفوذ مي‌كند. اين نفوذ عميق باعث مي‌شود كه سيستم‌عامل نتواند عملكردهاي مخرب را در لايه‌هاي امنيتي ثبت كند. روت‌كيت‌ها از انواع راهكار استفاده مي‌كنند تا ابزارهاي آنتي‌ويروس نتوانند عملكرد مخرب را شناسايي و ثبت كنند. دراين‌ميان، بدافزار Drovorub عملكردي عميق هم در سطح شبكه دارد تا تمامي ترافيك عبوري از آن را مطالعه و حتي استخراج كند.

بدافزار Drovorub با دسترسي‌هاي ريشه‌هاي بسيار عميق فعاليت خود را انجام مي‌دهد؛ درنتيجه مجرمان سايبري با سوءاستفاده از آن امكان كنترل كامل سيستم را كسب مي‌كنند. درمجموع، اين بدافزار آن‌قدر قابليت و توانايي دارد كه متخصص كارشناسان از لقب چاقوي سوئيسي براي تعريفش استفاده مي‌كنند.

مقام‌هاي دولت آمريكا ادعا مي‌كنند نام Drovorub از رشته‌هاي برنامه‌نويسي استخراج شده است. آن‌ها عبارت Drovorub را تركيبي از كلمات گوناگون مي‌دانند كه درنهايت، معناي «تكه‌كردن چوب» مي‌دهد. البته محقق امنيتي ديگري به‌نام دميتري آلپرووتيچ كه از سال‌ها پيش روي فعاليت‌هاي نفوذي روسيه تحقيق مي‌كند، تفسيري متفاوت از نام Drovorub دارد. او با معني‌كردن كلمه‌ي Drova به‌عنوان تعريفي براي كلمه‌ي درايور در زبان روسي، بدافزار Drovorub را «قاتل درايورهاي امنيتي» مي‌نامد.

مايكروسافت اوت ۲۰۱۹ گزارشي مبني‌بر نفوذ گروه‌هاي هكر روسي و هك پرينترها و دستگاه‌هاي ديگر منتشر كرد. طبق گزارش ردموندي‌ها، هكرها با سوءاستفاده از ابزارهاي قرباني، به شبكه‌هاي اصلي دسترسي پيدا مي‌كردند. در سال ۲۰۱۸ نيز، گزارش مشابهي از نفوذ گروه APT 28 به بيش از ۵۰۰ هزار روتر منتشر شد كه محققان احتمال سوءاستفاده از آن‌ها براي اهداف خراب‌كارانه‌ي ديگر را بسيار زياد مي‌دانستند. به‌هرحال، گزارش‌هاي بسياري از نفوذهاي گروه APT 28 وجود دارد كه قدرت آن‌ها را نيز ثابت مي‌كند.

بيانيه‌ي اخير سازمان‌هاي امنيتي ايالات متحده به دوره‌ي زماني سوءاستفاده‌ي هكرها از بدافزار Drovorub اشاره‌اي نمي‌كند. همچنين، مشخص نيست چه سازمان‌هايي در چه مناطقي با نفوذ و آلودگي بدافزار مواجه بوده‌اند. مقام‌ها مي‌گويند براي جلوگيري از نفوذ و آلودگي با بدافزار مذكور، بهترين راه همان به‌روزرساني امنيتي دستگاه‌هاي سازماني است. آن‌ها تأكيد مي‌كنند كه سازمان‌ها در سرورهاي خود از لينوكس با كرنل ۳/۷ به بعد استفاده كنند تا از جديدترين لايه‌هاي امنيتي در برابر مجرمان سايبري بهره‌مند شوند. استفاده از سيستم‌‌هاي تشخيص نفوذ Yara و Snort هم در بيانيه‌ي سازمان‌هاي امنيتي پيشنهاد مي‌شود. بيانيه‌ي ۴۵ صفحه‌اي FBI و NSA جزئيات بسيار زيادي دارد كه آن را به بيانيه‌هاي امنيتي شركت‌هاي خصوصي شبيه مي‌كند. به‌هرحال، بسياري از متخصص كارشناسان آن را يكي از بيانيه‌هاي نادر سازمان‌هاي دولتي درزمينه‌ي امنيت سايبري مي‌دانند.