Die NSA und das FBI warnen in einem gemeinsamen Bericht vor einer bislang unbekannten russischen Malware. Das als Drovorub bezeichnete Rootkit soll sich tief in Linux-Systemen einnisten, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.
Linux gilt gemeinhin als sicheres Betriebssystem. Nun aber warnen FBI und NSA explizit von einem auf Linux-Systeme abzielenden Rootkit, dass direkt mit russischen Hackern in Verbindung gebracht wird.
FBI und NSA warnen in einem gemeinsam veröffentlichten, öffentlichen Bericht (PDF) vor einer bisher nicht bekannten Linux-Schadsoftware. Das Drovorub genannte Rootkit soll in erster Linie von der berüchtigten russischen Hackertruppe APT28, auch als Fancy Bear oder Strontium bekannt, genutzt werden, um damit linux-basierte Systeme zu infiltrieren.
Direkter Zusammenhang zwischen Hackingtool und Geheimdienst etabliert
Erstmals bringen die US-Sicherheitsbehörden damit ein Hacker-Tool direkt mit einer spezifischen Abteilung des russischen Geheimdiensts in Verbindung. dem 85. Haupt-Sonderdienstzentrum (GTsSS), Militäreinheit 26165. Das GTsSS sei dabei mit denselben Hackern verbunden, die 2016 in das Demokratische Nationalkomitee eingebrochen seien, geben NSA und FBI in ihrem gemeinsamen Bericht an.
Der Name Drovorub bedeutet wortwörtlich übersetzt Holzfäller. Da im russischen Sprachraum der Begriff Drovo auch häufig als Bezeichnung für (Kernel-)Treiber verwendet wird, dürfte in diesem Zusammenhang Drovorub wortwörtlich für "Treiber-Hacker" stehen. "Drovorub ist ein 'Schweizer Taschenmesser' mit Fähigkeiten, die es dem Angreifer erlauben, viele verschiedene Funktionen auszuführen, wie zum Beispiel Dateien zu stehlen und den Computer des Opfers fernzusteuern", gibt Steve Grobman, CTO der Cybersicherheitsfirma McAfee, zur Auskunft.
Wie unter anderem Golem.de meldet, setzt sich die Malware aus einem Client und einem Kernelmodul zusammen, die von der Hackergruppe auf den betroffenen Linux-Systemen installiert werden. Das Kernelmodul dient dabei als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es kann nur schwer wieder entfernt werden, läuft mit uneingeschränkten Root-Rechten und lässt die Hackergruppe das Linuxsystem vollständig kontrollieren. Ist die Malware erst einmal etabliert, können über einen Agenten die gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Hackergruppe ausgetauscht werden.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.