Malware: FBI und NSA warnen vor russischem Linux-Rootkit

Das Rootkit soll sich tief in Linux-Systeme einnisten und von der russischen Hackergruppe APT28 verwendet werden.

Artikel veröffentlicht am ,
Das Linux-Maskottchen Tux auf Holz (Drovo).
Das Linux-Maskottchen Tux auf Holz (Drovo). (Bild: Pixabay)

FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Mit dieser soll die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe genutzt werden, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.

Die Hackergruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich gemacht. Zudem soll sie hinter dem ersten UEFI-Rootkit stecken, das in freier Wildbahn gesichtet wurde.

Drovorub besteht aus einem Client und einem Kernelmodul, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Über einen Agenten können die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.

NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, da die Gruppe Server bei verschiedenen Operationen wiederverwendeten. Demnach wurde die Schadsoftware mit einem Command-and-Control-Server genutzt, der 2019 für APT28-Angriffe gegen IoT-Geräte eingesetzt wurde. Die IP-Adresse wurde bereits von Microsoft im Zusammenhang mit APT28 dokumentiert.

Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits eingesetzt wird, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishingangriffe, mit denen sie an Zugangsdaten gelangen oder Rechner infizieren konnten. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, mit denen die Schadsoftware erkannt werden kann.

Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Bundestagshack
Bundesregierung bestellt russischen Botschafter ein
artikel-bild
Windows
Microsoft Defender scannt UEFI-Veränderungen
artikel-bild
Neues US-Gesetz
Trump verbannt Kaspersky endgültig von Regierungscomputern
Meistgelesen
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen
artikel-bild
Parkvision
Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
Kommentarübersicht
Re: Es wurde ein schädliches Kernel-Modul entdeckt
elknipso 16. Aug 2020

Erschreckenderweise ja :). Wobei Linux ja tendenziell eher nicht Laien und normale...

Re: Secure Boot sollte dies verhindern.
FreiGeistler 15. Aug 2020

Nicht doch. Aufgrund von Overengineering und damit einhergehender Sicherheitslücken, ist...

Re: Ahh, wieder ein NSA-Rootkit das aufgeflogen ist.
486dx4-160 15. Aug 2020

Nix. Die Amerikaner sind die Guten. Echelon und ein paar Jahre später die Snowden...

Re: Verstehe ich nicht, wie kommen die an Rootrechte?
MarkusXXX 15. Aug 2020

Ein Rootkit ist kein Tool um Rootrechte zu erlangen, sondern um sie zu behalten und...

Aktuell auf der Startseite von Golem.de
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?

GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
Ein Erfahrungsbericht von Tyler Glaiel

KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
Artikel
  1. Nachfolger von CS GO: Counter-Strike 2 ist geleakt
    Nachfolger von CS GO
    Counter-Strike 2 ist geleakt

    Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

  2. Diversität und Inklusion: Zwei Drittel der Activision-Blizzard-Belegschaft sind Männer
    Diversität und Inklusion
    Zwei Drittel der Activision-Blizzard-Belegschaft sind Männer

    Nach Diskriminierungs- und Sexismusskandalen hält der Publisher seine Bemühungen für mehr Vielfalt in einem jährlichen Bericht fest.

  3. Code-Hoster: Github veröffentlicht privaten SSH-Schlüssel
    Code-Hoster
    Github veröffentlicht privaten SSH-Schlüssel

    Millionen von Entwicklern könnten bald MITM-Angriffen ausgesetzt sein, denn Github muss kurzfristig seinen SSH-Host-Key austauschen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Powercolor RX 7900 XTX 1.099€ • Crucial SSD 1TB/2TB (PS5) bis -48% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /