ЦРУ и ФБР опубликовали совместный отчёт об обнаружении ранее неизвестного комплексного зловреда «Дроворуб» (Drovorub), разработчики которого, как утверждают исследователи, связаны с российскими спецслужбами и хакерской группировкой Fancy Bear, также известной под именами APT28, Group 74, Iron Twilight, PawnStorm, Sednit, Sofacy и Strontium. «Дроворуб» включает четыре основных исполняемых компонента: клиентский модуль-имплант, руткит в виде модуля ядра Linux, клиентские модуль для передачи файлов и перенаправления портов/трафика, управляющий сервер. Сервер отвечает за регистрацию, аутентификацию и отправку задачи клиентам. Для связи используется протокол WebSocket.
Клиентская часть поставляется с готовыми настройками для подключения к серверу и может выполнять произвольные команды от имени root-пользователя, скачивать и отправлять любые файлы, перенаправлять трафик на другие хосты и клиенты, в том числе организуя туннели до других заражённых хостов в скомпрометированной сети, которые могут не иметь выхода в Интернет.
Остальные локальные методы включают более затратные анализ памяти и образа диска. Также можно заметить следы деятельности в сети и логах самого ядра. Для предотвращения заражения рекомендуется обновить ядро Linux до версии 3.7 или старше, устанавливать обновления, запретить загрузку недоверенных и неподписанных модулей ядра, а также использовать UEFI Secure Boot. Источник
