Lesezeit
weniger als1 Minute
NSA und FBI warnen vor russischem Linux-Rootkit
Die NSA und das FBI haben eine neue, für Linux-Rechner konzipierte Malware namens "Drovorub" identifiziert. Nach Einschätzungen der US-Geheimdienste stammt das Rootkit von russischen Hackern, die bereits als Fancy Bear, Strontium oder APT 28 in öffentlicher Erscheinung getreten sind. Ihnen soll beispielsweise der erfolgreiche Cyberangriff auf den Deutschen Bundestag im Jahr 2015 gelungen sein.
Das aus mehreren Modulen bestehende Rootkit "Drovorub" richtet sich gegen Linux-Systeme und verankert sich nach erfolgreichem Befall tief in deren Kernel-Modul. Dort können die Angreifer uneingeschränkt Informationen aller Art abgreifen und erlangen vollständige Kontrolle über das System. Dazu richtet die Malware unter anderem einen eigenen Server auf dem Linux-Rechner ein, der sich via Command-and-Control-Server fernsteuern lässt.
Angaben beispielsweise dazu, wie lange das Rootkit bereits im Umlauf ist und wie viele Linux-Systeme es bereits kompromittieren konnte, machen die US-Geheimdienste nicht. Als wichtigste Maßnahme, um die Anfälligkeit von Linux-Systemen für einen Drovorub-Befall zu verringern, empfehlen die US-Geheimdienste einen Kernel-Update auf mindestens Version 3.7 und das Unterbinden des Ladens von Modulen ohne gültiges digitales Zertifikat.
Hinweise, wie das im System verankerte Rootkit aufzudecken ist und über die gegebenenfalls notwendigen Maßnahmen für dessen Entfernung geben NSA und FBI in einem ausführlichen Cybersecurity Advisory [1].
mh
[1] https://media.defense.gov/2020/Aug/13/2002476465/-1/-1[...]
Angaben beispielsweise dazu, wie lange das Rootkit bereits im Umlauf ist und wie viele Linux-Systeme es bereits kompromittieren konnte, machen die US-Geheimdienste nicht. Als wichtigste Maßnahme, um die Anfälligkeit von Linux-Systemen für einen Drovorub-Befall zu verringern, empfehlen die US-Geheimdienste einen Kernel-Update auf mindestens Version 3.7 und das Unterbinden des Ladens von Modulen ohne gültiges digitales Zertifikat.
Hinweise, wie das im System verankerte Rootkit aufzudecken ist und über die gegebenenfalls notwendigen Maßnahmen für dessen Entfernung geben NSA und FBI in einem ausführlichen Cybersecurity Advisory [1].
mh
[1] https://media.defense.gov/2020/Aug/13/2002476465/-1/-1[...]