Schwerpunkte

"Drovorub"

Warnung vor fieser Linux-Malware

19. August 2020, 15:00 Uhr   |  Autor: Lars Bube | Kommentar(e)

Warnung vor fieser Linux-Malware
© Linux

US-Geheimdienste haben eine neue Schadsoftware entdeckt, mit der russische Hacker Linux-Systeme unterwandern. Sie kann sowohl zu Spionagezwecken als auch zur Sabotage befallener Infrastrukturen genutzt werden.

Bei der Verfolgung russischer Hacker-Aktivitäten sind FBI und NSA jetzt auf eine neue Schadsoftware gestoßen, die Linux-Systeme kompromittiert. Wie die beiden Geheimdienste berichten, besteht die “Drovorub” getaufte Malware aus mehreren Komponenten, bietet den Angreifern weitreichende Möglichkeiten in befallene Systeme einzugreifen und ist zudem besonders schwer zu entdecken. Basis des Schädlings ist laut den Sicherheitsexperten der beiden Dienste ein Rootkit-Modul, das sich direkt im Linuxkernel verankert. Dadurch kann Drovorub den Angreifern nicht nur uneingeschränkten Zugriff auf das komplette System gewähren, sondern sich auch selbst effizient vor einer Entdeckung und Vernichtung durch Antivirensoftware oder Anwender verstecken und schützen.

Hat dieser Baustein ein System befallen, richtet er laut dem Bericht sofort einen eigenen lokalen Server ein, der sich von einem Command-and-Control-Server der Hacker aus fernsteuern lässt. Auf diesem Weg können die Angreifer nicht nur beliebige Befehle ausführen, sondern auch weiteren Schadcode nachladen sowie Daten aus dem infizierten System und seinem Netzwerk abgreifen. In solchen Spionagezwecken vermuten NSA und FBI auch die Hauptaufgabe des Schädlings. Sie gehen davon aus, dass er aus der Feder der Hackergruppe APT28 stammt, die auch als Fancy Bear bekannt ist und im Auftrag russischer Militärgeheimdienste arbeiten soll. In der Vergangenheit soll APT28 unter anderem für den Angriff auf den deutschen Bundestag 2015 sowie auf Mailserver der US-Demokraten im Wahlkampf 2016 verantwortlich gewesen sein.

Die Geheimdienste legen zwar viele technische Details zu Drovorub offen, machen aber keine Angaben darüber, wie lange der Schädling schon aktiv sein könnte und wie weit er verbreitet ist. Dafür liefern sie einige Anhaltspunkte, wie eine Infektion erkannt werden kann. Aufgrund der eingebauten Verschleierungsmechanismen ist dies vor allem über verdächtige Netzwerkaktivitäten möglich, die bei einer Paket-Inspektion an Netzwerkgrenzen auffallen. Um sich vor einer Infektion zu schützen sollten Administratoren auf Versionen ab dem Linux-Kernel 3.7 upgraden, die eine bessere Kontrolle des Kernels erlauben und die Ausführung von Modulen ohne gültige Signatur verhindern können.

Zuerst erschienen auf crn.de.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Sicherheitsrisiko für intelligente Industrieumgebungen
Interpol warnt vor alarmierender Zunahme von Cyberattacken
Kostenloses Tool zur Passwort-Überprüfung
Schulterschluss von Cloud und lokalem Server
F-Secure schützt Microsofts cloudbasierte Mail-Dienste

Verwandte Artikel

funkschau