• IT-Karriere:
  • Services:

Malware: FBI und NSA warnen vor russischem Linux-Rootkit

Das Rootkit soll sich tief in Linux-Systeme einnisten und von der russischen Hackergruppe APT28 verwendet werden.

Artikel veröffentlicht am ,
Das Linux-Maskottchen Tux auf Holz (Drovo).
Das Linux-Maskottchen Tux auf Holz (Drovo). (Bild: Pixabay)

FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Mit dieser soll die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe genutzt werden, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Die Hackergruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich gemacht. Zudem soll sie hinter dem ersten UEFI-Rootkit stecken, das in freier Wildbahn gesichtet wurde.

Drovorub besteht aus einem Client und einem Kernelmodul, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Über einen Agenten können die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.

NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, da die Gruppe Server bei verschiedenen Operationen wiederverwendeten. Demnach wurde die Schadsoftware mit einem Command-and-Control-Server genutzt, der 2019 für APT28-Angriffe gegen IoT-Geräte eingesetzt wurde. Die IP-Adresse wurde bereits von Microsoft im Zusammenhang mit APT28 dokumentiert.

Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits eingesetzt wird, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishingangriffe, mit denen sie an Zugangsdaten gelangen oder Rechner infizieren konnten. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, mit denen die Schadsoftware erkannt werden kann.

Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

elknipso 16. Aug 2020 / Themenstart

Erschreckenderweise ja :). Wobei Linux ja tendenziell eher nicht Laien und normale...

FreiGeistler 15. Aug 2020 / Themenstart

Nicht doch. Aufgrund von Overengineering und damit einhergehender Sicherheitslücken, ist...

486dx4-160 15. Aug 2020 / Themenstart

Nix. Die Amerikaner sind die Guten. Echelon und ein paar Jahre später die Snowden...

MarkusXXX 15. Aug 2020 / Themenstart

Ein Rootkit ist kein Tool um Rootrechte zu erlangen, sondern um sie zu behalten und...

tomatentee 15. Aug 2020 / Themenstart

Verlässliche Attributierung (also die Zuordnung zu einem Versursacher) ist bei IT...

Kommentieren


Folgen Sie uns
       


MX 10.0 im Test: Cherrys kompakte, flache, tolle RGB-Tastatur
MX 10.0 im Test
Cherrys kompakte, flache, tolle RGB-Tastatur

Die Cherry MX 10.0 kommt mit besonders flachen MX-Schaltern, ist hervorragend verarbeitet und umfangreich programmierbar. Warum Nutzer in Deutschland noch auf sie warten müssen, ist nach unserem Test unverständlich.
Ein Test von Tobias Költzsch

  1. Argand Partners Cherry wird verkauft

Freebuds Pro im Test: Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht
Freebuds Pro im Test
Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht

Die Freebuds Pro haben viele Besonderheiten der Airpods Pro übernommen und sind teilweise sogar besser. Trotzdem bleiben die Apple-Stöpsel etwas Besonderes.
Ein Test von Ingo Pakalski

  1. Galaxy Buds Live im Test So hat Samsung gegen Apples Airpods Pro keine Chance
  2. Freebuds Pro Huawei bringt eine Fast-Kopie der Airpods Pro
  3. Airpods Studio Patentanträge bestätigen Apples Arbeit an ANC-Kopfhörer

Prozessor: Wie arm ARM mit Nvidia dran ist
Prozessor
Wie arm ARM mit Nvidia dran ist

Von positiv bis hin zum Desaster reichen die Stimmen zum Deal: Was der Kauf von ARM durch Nvidia bedeuten könnte.
Eine Analyse von Marc Sauter

  1. Prozessoren Nvidia kauft ARM für 40 Milliarden US-Dollar
  2. Chipdesigner Nvidia bietet mehr als 40 Milliarden Dollar für ARM
  3. Softbank-Tochter Nvidia hat Interesse an ARM

    •  /