8月13日，美國(guó)相關(guān)機(jī)構(gòu)聯(lián)合發(fā)布了長(zhǎng)達(dá)45頁(yè)的詳細(xì)惡意軟件分析報(bào)告。 報(bào)告稱，這個(gè)名為Drovorub的反惡意軟件工具包由四個(gè)獨(dú)立的組件組成，包括代理和客戶端點(diǎn)、服務(wù)器和內(nèi)核模塊。

當(dāng)部署到受害計(jì)算機(jī)上時(shí)，Drovorub implant(客戶端)建立了與攻擊者C2(命令+控制)服務(wù)器的通信，進(jìn)而能夠文件下載和上傳，獲得root權(quán)限，實(shí)現(xiàn)端口轉(zhuǎn)發(fā)等功能。由于它的內(nèi)核模塊采用了先進(jìn)的“rootkit”技術(shù)，使得檢測(cè)變得異常困難。

ESET的安全情報(bào)團(tuán)隊(duì)負(fù)責(zé)人Alexis表示，“Fancy Bear過去使用過他們自己的Linux惡意軟件，最臭名昭著的案例是四五年前他們的旗艦后門XAgent的Linux版本，也被稱為Fysbis”。

除了惡意軟件“Drovorub”的一些基本特征和威脅能力外，報(bào)告并未公開說明該惡意軟件已經(jīng)運(yùn)行了多長(zhǎng)時(shí)間，最初的攻擊載體是如何發(fā)生的，有多少公司已經(jīng)成為目標(biāo)，以及是否有任何攻擊已經(jīng)成功。45頁(yè)報(bào)告百度搜索即可下載。