Вредоносное ПО Drovorub позволяет перехватить контроль над радиостанциями Trio

[душман]

Французская энергомашиностроительная компания Schneider Electric предупредила своих клиентов о вредоносном программном обеспечении Drovorub для Linux, разработанном киберпреступной группировкой APT28 (также известной как Fancy Bear, Pawn Storm, Sednit и Strontium).

Drovorub содержит имплант, руткит модуля ядра, средства для передачи файлов и перенаправления портов, а также C&C-сервер. После установки на устройстве вредоносная программа позволяет операторам загружать и скачивать файлы, выполнять команды с привилегиями суперпользователя и осуществлять переадресацию портов. Вредонос также имеет механизмы для обеспечения персистентности и уклонения от обнаружения.

Drovorub работает на системах с версией ядра Linux 3.7 и старше (из-за отсутствия надлежащего обеспечения подписи ядра) и не может обеспечить персистентность на системах, где безопасная загрузка UEFI включена в режимах Full или Thorough.

Schneider Electric порекомендовала клиентам воспользоваться рекомендациями по комплексной защите, чтобы обезопасить устройства Trio Q Data Radio и Trio J Data Radio от вредоносных программ. Данные продукты представляют собой радиостанции, предназначенные для обеспечения беспроводной передачи данных на большие расстояния для приложений SCADA и удаленной телеметрии.

Установка вредоносного ПО позволяет злоумышленнику напрямую взаимодействовать с C&C-сервером, выполнять произвольные команды, перенаправлять сетевой трафик через порт и применять специальные методы для избежания обнаружения.

По умолчанию радиостанции Trio не уязвимы к вредоносному ПО и оно не может быть загружено на устройства без модификаций. Радиостанции могут быть потенциально уязвимыми лишь в том случае, если пользователь будет использовать незащищенные протоколы и откажется от реализации ролевого контроля доступа.