Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Warnung vor fieser Linux-Malware

»Drovorub«

Warnung vor fieser Linux-Malware

17. August 2020, 12:42 Uhr | Lars Bube
© terramigrante - AdobeStock

US-Geheimdienste haben eine neue Schadsoftware entdeckt, mit der russische Hacker Linux-Systeme unterwandern. Sie kann sowohl zu Spionagezwecken als auch zur Sabotage befallener Infrastrukturen genutzt werden.

Bei der Verfolgung russischer Hacker-Aktivitäten sind FBI und NSA jetzt auf eine neue Schadsoftware gestoßen, die Linux-Systeme kompromittiert. Wie die beiden Geheimdienste berichten, besteht die »Drovorub« getaufte Malware aus mehreren Komponenten, bietet den Angreifern weitreichende Möglichkeiten in befallene Systeme einzugreifen und ist zudem besonders schwer zu entdecken. Basis des Schädlings ist laut den Sicherheitsexperten der beiden Dienste ein Rootkit-Modul, das sich direkt im Linuxkernel verankert. Dadurch kann Drovorub den Angreifern nicht nur uneingeschränkten Zugriff auf das komplette System gewähren, sondern sich auch selbst effizient vor einer Entdeckung und Vernichtung durch Antivirensoftware oder Anwender verstecken und schützen.

Hat dieser Baustein ein System befallen, richtet er laut dem Bericht sofort einen eigenen lokalen Server ein, der sich von einem Command-and-Control-Server der Hacker aus fernsteuern lässt. Auf diesem Weg können die Angreifer nicht nur beliebige Befehle ausführen, sondern auch weiteren Schadcode nachladen sowie Daten aus dem infizierten System und seinem Netzwerk abgreifen. In solchen Spionagezwecken vermuten NSA und FBI auch die Hauptaufgabe des Schädlings. Sie gehen davon aus, dass er aus der Feder der Hackergruppe APT28 stammt, die auch als Fancy Bear bekannt ist und im Auftrag russischer Militärgeheimdienste arbeiten soll. In der Vergangenheit soll APT28 unter anderem für den Angriff auf den deutschen Bundestag 2015 sowie auf Mailserver der US-Demokraten im Wahlkampf 2016 verantwortlich gewesen sein.

Die Geheimdienste legen zwar viele technische Details zu Drovorub offen, machen aber keine Angaben darüber, wie lange der Schädling schon aktiv sein könnte und wie weit er verbreitet ist. Dafür liefern sie einige Anhaltspunkte, wie eine Infektion erkannt werden kann. Aufgrund der eingebauten Verschleierungsmechanismen ist dies vor allem über verdächtige Netzwerkaktivitäten möglich, die bei einer Paket-Inspektion an Netzwerkgrenzen auffallen. Um sich vor einer Infektion zu schützen sollten Administratoren auf Versionen ab dem Linux-Kernel 3.7 upgraden, die eine bessere Kontrolle des Kernels erlauben und die Ausführung von Modulen ohne gültige Signatur verhindern können.

Anbieter zum Thema

Panduit
Riello UPS GmbH
dtm Datentechnik Moll GmbH
Rittal GmbH & Co. KG
AixpertSoft GmbH
Matchmaker+
zu Matchmaker+

Lesen Sie mehr zum Thema

INFRA-ANTRIEBE Hans Nelk GmbH RZ-Dienstleistung
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu INFRA-ANTRIEBE Hans Nelk GmbH

Smartphones dominieren das Web

Das Internet ist mobil

Gehäuft unseriöse E-Mails mit IHK-Logo

IHK warnt vor Datendiebstahl

Tücken der vernetzten Gebäudetechnik

(Nicht so) Smarte Lichtsteuerung sorgt für…

Kuriosum von der CES

Kabelloser Fernseher mit Selbstzerstörungsfunktion

Sinkende Ransomware-Umsätze

Erpressungsopfer drehen Hackern den Geldhahn ab

Weitere Artikel zu RZ-Dienstleistung

Vorstandswechsel bei T-Systems

Ferri Abolhassan ersetzt Adel Al-Saleh

Rechenzentrum: Neubau oder Ertüchtigung?

Mit RZ-Refit Ressourcen, Geld und Zeit sparen

Delta stellt Experience Center für RZ-Lösungen vor

Test- und Qualifizierungsanforderungen erfüllen

Datenschutz

Jetzt dranbleiben

European Lighthouse on Secure and SafeAI

ELSA-Netzwerk feiert offiziellen Start in…

Matchmaker+
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Unicon GmbH

Unicon GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
ASUS Computer GmbH

ASUS Computer GmbH
Zyxel Networks A/S

Zyxel Networks A/S