Malware: FBI und NSA warnen vor russischem Linux-Rootkit

Das Rootkit soll sich tief in Linux-Systeme einnisten und von der russischen Hackergruppe APT28 verwendet werden.

Artikel veröffentlicht am ,
Das Linux-Maskottchen Tux auf Holz (Drovo).
Das Linux-Maskottchen Tux auf Holz (Drovo). (Bild: Pixabay)

FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Mit dieser soll die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe genutzt werden, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.

Stellenmarkt
  1. DevOps-Ingenieur / Ingenieurin (m/w/d)
    Bundesnachrichtendienst, Bonn
  2. Betreuer Messdatenmanagement (m/w/d)
    VOLTARIS GmbH, Maxdorf, Merzig
Detailsuche

Die Hackergruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich gemacht. Zudem soll sie hinter dem ersten UEFI-Rootkit stecken, das in freier Wildbahn gesichtet wurde.

Drovorub besteht aus einem Client und einem Kernelmodul, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Über einen Agenten können die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.

NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, da die Gruppe Server bei verschiedenen Operationen wiederverwendeten. Demnach wurde die Schadsoftware mit einem Command-and-Control-Server genutzt, der 2019 für APT28-Angriffe gegen IoT-Geräte eingesetzt wurde. Die IP-Adresse wurde bereits von Microsoft im Zusammenhang mit APT28 dokumentiert.

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
Weitere IT-Trainings

Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits eingesetzt wird, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishingangriffe, mit denen sie an Zugangsdaten gelangen oder Rechner infizieren konnten. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, mit denen die Schadsoftware erkannt werden kann.

Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elknipso 16. Aug 2020

Erschreckenderweise ja :). Wobei Linux ja tendenziell eher nicht Laien und normale...

FreiGeistler 15. Aug 2020

Nicht doch. Aufgrund von Overengineering und damit einhergehender Sicherheitslücken, ist...

486dx4-160 15. Aug 2020

Nix. Die Amerikaner sind die Guten. Echelon und ein paar Jahre später die Snowden...

MarkusXXX 15. Aug 2020

Ein Rootkit ist kein Tool um Rootrechte zu erlangen, sondern um sie zu behalten und...

tomatentee 15. Aug 2020

Verlässliche Attributierung (also die Zuordnung zu einem Versursacher) ist bei IT...



Aktuell auf der Startseite von Golem.de
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten

Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Entwickler gesucht: Blizzard arbeitet an einem Survivalgame
    Entwickler gesucht
    Blizzard arbeitet an einem Survivalgame

    Laut Firmenchef ist es schon spielbar: Blizzard hat ein neues Serienuniversum angekündigt - in dem es möglicherweise Fahrräder gibt.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • RX 6900XT 16 GB für 1.495€ • Acer Curved Gaming-Monitor 27" 259€ • RX 6800XT 16GB 1.229€ • Corsair 16GB DDR4-4000 111,21€ • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /