Das aus mehreren Modulen bestehende Rootkit "Drovorub" richtet sich gegen Linux-Systeme und verankert sich nach erfolgreichem Befall tief in deren Kernel-Modul. Dort können die Angreifer uneingeschränkt Informationen aller Art abgreifen und erlangen vollständige Kontrolle über das System. Dazu richtet die Malware unter anderem einen eigenen Server auf dem Linux-Rechner ein, der sich via Command-and-Control-Server fernsteuern lässt.

Angaben beispielsweise dazu, wie lange das Rootkit bereits im Umlauf ist und wie viele Linux-Systeme es bereits kompromittieren konnte, machen die US-Geheimdienste nicht. Als wichtigste Maßnahme, um die Anfälligkeit von Linux-Systemen für einen Drovorub-Befall zu verringern, empfehlen die US-Geheimdienste einen Kernel-Update auf mindestens Version 3.7 und das Unterbinden des Ladens von Modulen ohne gültiges digitales Zertifikat.

Hinweise, wie das im System verankerte Rootkit aufzudecken ist und über die gegebenenfalls notwendigen Maßnahmen für dessen Entfernung geben NSA und FBI in einem ausführlichen Cybersecurity Advisory [1].

mh

[1] https://media.defense.gov/2020/Aug/13/2002476465/-1/-1[...]