NSA und FBI warnen vor russischem Linux-Rootkit

20.08.2020

Die NSA und das FBI haben eine neue für Linux-Rechner designierte, Drovorub genannte Malware identifiziert. Zugleich geben die US-Geheimdienste für das von bekannten russischen Hackern entstammen sollende Rootkit Vorbeuge- und Behandlungs-Tipps.

Nach Einschätzungen des NSA und des FBI haben im staatlichen Auftrag handelnde russische Hacker, die bereits als Fancy Bear, Strontium oder APT 28 in öffentlicher Erscheinung getreten sind und denen beispielsweise der erfolgreiche Cyberangriff auf den Deutschen Bundestag im Jahr 2015 zugeschrieben wird, eine neue Schadsoftware in den Umlauf gebracht.

Das aus mehreren Modulen bestehende Rootkit "Drovorub" richtet sich gegen Linux-Systeme und verankert sich nach erfolgreichem Befall tief in deren Kernel-Modul. Dort können die Angreifer uneingeschränkt Informationen aller Art abgreifen und erlangen vollständige Kontrolle über das System. Dazu richtet die Malware unter anderem einen eigenen Server auf dem Linux-Rechner ein, der sich via Command-and-Control-Server fernsteuern lässt.

Angaben beispielsweise dazu, wie lange das Rootkit bereits im Umlauf ist und wie viele Linux-Systeme es bereits kompromittieren konnte, machen die US-Geheimdieste nicht.

Als wichtigste Maßnahme, um die Anfälligkeit von Linux-Systemen für einen Drovorub-Befall zu verringern, empfehlen die US-Geheimdienste einen Kernel-Update auf mindestens Version 3.7 und die Unterbindung des Ladens von Modulen ohne gültiges digitales Zertifikat. Hinweise, wie das tief im System verankerte Rootkit aufzudecken ist, und zu gegebenenfalls notwendigen Maßnahmen für dessen Entfernungen geben NSA und FBI in einem ausführlichen Cybersecurity Advisory.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Linux-Rootkit analysiert

Die Firma FireEye hat einen ausgefeilten DDoS-Wurm analysiert, der sich teilweise als Rootkit auf Linux-Systemen einnistet. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020