• IT-Karriere:
  • Services:

Malware: FBI und NSA warnen vor russischem Linux-Rootkit

Das Rootkit soll sich tief in Linux-Systeme einnisten und von der russischen Hackergruppe APT28 verwendet werden.

Artikel veröffentlicht am ,
Das Linux-Maskottchen Tux auf Holz (Drovo).
Das Linux-Maskottchen Tux auf Holz (Drovo). (Bild: Pixabay)

FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Mit dieser soll die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe genutzt werden, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.

Stellenmarkt
  1. Dürr IT Service GmbH, Bietigheim-Bissingen
  2. Lebensversicherung von 1871 a. G. München, München

Die Hackergruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich gemacht. Zudem soll sie hinter dem ersten UEFI-Rootkit stecken, das in freier Wildbahn gesichtet wurde.

Drovorub besteht aus einem Client und einem Kernelmodul, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Über einen Agenten können die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.

NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, da die Gruppe Server bei verschiedenen Operationen wiederverwendeten. Demnach wurde die Schadsoftware mit einem Command-and-Control-Server genutzt, der 2019 für APT28-Angriffe gegen IoT-Geräte eingesetzt wurde. Die IP-Adresse wurde bereits von Microsoft im Zusammenhang mit APT28 dokumentiert.

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Ansible Fundamentals: Systemdeployment & -management
    26.-30. April 2021, online
Weitere IT-Trainings

Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits eingesetzt wird, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishingangriffe, mit denen sie an Zugangsdaten gelangen oder Rechner infizieren konnten. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, mit denen die Schadsoftware erkannt werden kann.

Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. LG OLED55CX9LA 55 Zoll OLED 120Hz VRR für 1.299€, Samsung GU82TU8079 82 Zoll LED für 1...
  2. 77€ (Bestpreis)
  3. (u. a. WD MyPassport externe HDD 5TB für 99€, Sony KD-55XH9077 55Zoll LED für 799€ (inkl...
  4. (u. a. Lords of the Fallen Game of the Year Edition für 2,50€, Toybox Turbos für 3,33€, Heavy...

elknipso 16. Aug 2020

Erschreckenderweise ja :). Wobei Linux ja tendenziell eher nicht Laien und normale...

FreiGeistler 15. Aug 2020

Nicht doch. Aufgrund von Overengineering und damit einhergehender Sicherheitslücken, ist...

486dx4-160 15. Aug 2020

Nix. Die Amerikaner sind die Guten. Echelon und ein paar Jahre später die Snowden...

MarkusXXX 15. Aug 2020

Ein Rootkit ist kein Tool um Rootrechte zu erlangen, sondern um sie zu behalten und...

tomatentee 15. Aug 2020

Verlässliche Attributierung (also die Zuordnung zu einem Versursacher) ist bei IT...


Folgen Sie uns
       


Der Konsolen-PC - Fazit

Seit es AMDs RDNA-2-Grafikkarten gibt, kann eine Next-Gen-Konsole leicht nachgebaut werden. Wir schauen, was es dazu braucht und ob der Konsolen-PC etwas taugt.

Der Konsolen-PC - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /