Malware: FBI und NSA warnen vor russischem Linux-Rootkit

Das Rootkit soll sich tief in Linux-Systeme einnisten und von der russischen Hackergruppe APT28 verwendet werden.

Artikel veröffentlicht am ,
Das Linux-Maskottchen Tux auf Holz (Drovo).
Das Linux-Maskottchen Tux auf Holz (Drovo). (Bild: Pixabay)

FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Mit dieser soll die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe genutzt werden, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.

Stellenmarkt
  1. Stabsstelle Prozess- und Qualitätsentwicklung der Schulen (m/w/d)
    Institut für soziale Berufe Stuttgart gGmbH, Stuttgart
  2. DevOps Engineer / Cloud Operator (m/w/d)
    GK Software SE, Schöneck (Vogtland), St. Ingbert, Pilsen (Tschechische Republik)
Detailsuche

Die Hackergruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich gemacht. Zudem soll sie hinter dem ersten UEFI-Rootkit stecken, das in freier Wildbahn gesichtet wurde.

Drovorub besteht aus einem Client und einem Kernelmodul, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Über einen Agenten können die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.

NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, da die Gruppe Server bei verschiedenen Operationen wiederverwendeten. Demnach wurde die Schadsoftware mit einem Command-and-Control-Server genutzt, der 2019 für APT28-Angriffe gegen IoT-Geräte eingesetzt wurde. Die IP-Adresse wurde bereits von Microsoft im Zusammenhang mit APT28 dokumentiert.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits eingesetzt wird, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishingangriffe, mit denen sie an Zugangsdaten gelangen oder Rechner infizieren konnten. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, mit denen die Schadsoftware erkannt werden kann.

Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


elknipso 16. Aug 2020

Erschreckenderweise ja :). Wobei Linux ja tendenziell eher nicht Laien und normale...

FreiGeistler 15. Aug 2020

Nicht doch. Aufgrund von Overengineering und damit einhergehender Sicherheitslücken, ist...

486dx4-160 15. Aug 2020

Nix. Die Amerikaner sind die Guten. Echelon und ein paar Jahre später die Snowden...

MarkusXXX 15. Aug 2020

Ein Rootkit ist kein Tool um Rootrechte zu erlangen, sondern um sie zu behalten und...

tomatentee 15. Aug 2020

Verlässliche Attributierung (also die Zuordnung zu einem Versursacher) ist bei IT...



Aktuell auf der Startseite von Golem.de
Lieferengpässe
Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?

Kein Warten mehr, 200 bis 300 Euro Aufpreis: Wer eine Playstation 5 will, kann sie sofort haben. Falls das Gewissen mitspielt.
Ein IMHO von Peter Steinlechner

Lieferengpässe: Ist es moralisch okay, eine PS5 auf Ebay zu kaufen?
Artikel
  1. Telefonie, SMS und Internet: EU-Roaming-Regeln werden bis 2032 verlängert
    Telefonie, SMS und Internet
    EU-Roaming-Regeln werden bis 2032 verlängert

    Damit kann das Smartphone auf Reisen weiterhin innerhalb der EU mit den gleichen Konditionen wie zu Hause verwendet werden.

  2. Code-Hoster: Github baut Code-Suche komplett neu
    Code-Hoster
    Github baut Code-Suche komplett neu

    Die neue Code-Suche von Github ist in Rust geschrieben, soll schneller sein als bisher und die Ergebnisse leichter verständlich machen.

  3. Verkehrssicherheit: Teslas werden zu rollender Spielkonsole und zur Gefahr
    Verkehrssicherheit
    Teslas werden zu rollender Spielkonsole und zur Gefahr

    Nach einem Software-Update können bei laufender Fahrt im Tesla drei Spiele gespielt werden. Die Verkehrssicherheitsbehörde ist entsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM-Module und SSDs von Crucial im Angebot • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Microsoft Flight Simulator Xbox 29,99€ • Alternate (u. a. Kingston A400 480 GB SSD 37,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /