Den amerikanska säkerhetsmyndigheten National Security Agency, NSA, innehar inte nödvändigtvis det absolut bästa ryktet bland förespråkare av ett fritt Internet med personlig integritet. Ett av myndighetens jobb är att varna för hot mot den nationella säkerheten, vilket de nu gör via en rapport om den skadliga mjukvaran Drovorub som kan få roottillgång i Linuxsystem.

Enligt NSA ligger ingen mindre än den ryska militärens underrättelsetjänst GRU bakom attackerna, men pekar specifikt ut en division av underrättelsetjänsten (PDF) som skyldig. Enligt Betanews uppger NSA inte hur länge attackerna pågått, men gruppen som nyttjat Drovorub-mjukvaran uppges ha hunnit figurera under namnen Fancy Bear, APT28 och Strontium.

Drovorub is a Linux malware toolset consisting of an implant coupled with a kernel module rootkit, a file transfer and port forwarding tool, and a Command and Control (C2) server. When deployed on a victim machine, the Drovorub implant (client) provides the capability for direct communications with actor-controlled C2 infrastructure (T1071.0011); file download and upload capabilities (T1041); execution of arbitrary commands as "root" (T1059.004); and port forwarding of network traffic to other hosts on the network (T1090). The kernel module rootkit uses a variety of means to hide itself and the implant on infected devices (T1014), and persists through reboot of an infected machine unless UEFI secure boot is enabled in "Full" or "Thorough" mode.

Drovorub uppges endast kunna åtnjuta rootåtkomst på Linuxkärnor äldre än version 3.7, varför en uppdatering för användare av äldre kärnor kan vara att rekommendera. Exakt vad den ryska underrättelsetjänsten kan tänkas tjäna på det hela och vilka som råkat ut för Drovorub anges inte av NSA.

Läs mer om attacker: