Le agenzie statunitensi hanno emesso un avviso congiunto a metà agosto per avvertire le organizzazioni che il gruppo di spionaggio informatico noto come APT28, che è stato collegato alla Direzione generale dell’intelligence (GRU) dello Stato maggiore della Russia, sta utilizzando un malware Linux chiamato Drovorub.
Drovorub include un impianto, un rootkit del modulo del kernel, strumenti di trasferimento file e port forwarding e un server C&C. Una volta distribuito su un dispositivo, il malware consente ai suoi operatori di scaricare e caricare file, eseguire comandi con privilegi di root e condurre il port forwarding. Ha anche meccanismi per la persistenza e per eludere il rilevamento.
Drovorub influisce sui sistemi con kernel Linux versione 3.7 o inferiore (a causa della mancanza di un’adeguata applicazione della firma del kernel) e non può ottenere la persistenza sui sistemi in cui l’avvio protetto UEFI.
Schneider Electric ha consigliato ai clienti di implementare raccomandazioni di difesa approfondita per proteggere i loro dispositivi Trio Q Data Radio e Trio J Data Radio dal malware.
Questi prodotti sono radio dati ethernet e seriali progettate per fornire comunicazioni dati wireless a lungo raggio per applicazioni SCADA e di telemetria remota.
Secondo Schneider, l’installazione del malware su questi dispositivi “potrebbe far sì che un utente malintenzionato acquisisca capacità di comunicazione diretta con un’infrastruttura di comando e controllo controllata da attori, funzionalità di download e caricamento di file, esecuzione di comandi arbitrari, port forwarding del traffico di rete ad altri host sul rete e implementare tecniche di occultamento per eludere il rilevamento.”
Il gigante industriale francese ha dichiarato che, sebbene Drovorub possa rappresentare una minaccia per i suoi dispositivi, in realtà non è a conoscenza di alcun incidente che coinvolga il malware.
“Quando abbiamo appreso come funzionava Drovorub, abbiamo esaminato tutti i nostri dispositivi Linux per vedere se presentavano le stesse vulnerabilità. Per un’eccesso di cautela, abbiamo deciso di informare i nostri utenti del potenziale problema e di offrire una mitigazione mentre veniva preparata una correzione per il sistema operativo”, ha dichiarato via e-mail Andrew Kling, responsabile della sicurezza del prodotto presso Schneider Electric.
“Per impostazione predefinita, le radio Trio non sono vulnerabili perché il malware in questa forma non può essere caricato su di esse senza modifiche. Un utente dovrebbe utilizzare protocolli non protetti e non implementare il controllo degli accessi basato sui ruoli per rendere le radio potenzialmente vulnerabili”, ha aggiunto Kling.
Schneider Electric ha consigliato ai clienti di applicare le mitigazioni consigliate per ridurre il rischio di attacchi e afferma che sta lavorando per implementare una correzione che dovrebbe ridurre ulteriormente il rischio, ma la società ha dichiarato di non essere a conoscenza di alcuna vulnerabilità effettiva che potrebbe essere sfruttata dal malware in modo che ci si aspetti di assegnare un identificatore CVE.