Ein Rootkit namens Drovorub soll sich tief in Linux-Systemen einnisten und von der russischen Hackergruppe APT28 stammen.Das FBI und die NSA haben nun eine Warnung veröffentlicht.
FBI und NSA warnen in einem gemeinsamen Bericht (PDF) vor der bisher nicht bekannten Linux-Schadsoftware Drovorub. Diese verwendet die als APT28, Fancy Bear, Sofacy oder Strontium bekannte Hackergruppe, um heimlich Netzwerke zu infiltrieren, Informationen abzugreifen oder Befehle auf der Infrastruktur auszuführen.
Security-Forscher rechnen die Gruppe dem russischen Militärgeheimdienst GRU zu und machen sie unter anderem für den Bundestags-Hack im Jahr 2015, den Angriff auf die Bundesregierung im Jahr 2017 sowie auf Mailkonten der Demokratischen Partei im US-Wahlkampf verantwortlich. Zudem soll sie hinter dem ersten UEFI-Rootkit in freier Wildbahn stecken.
Eigenes Kernelmodul
Drovorub besteht aus einem Client und einem Kernelmodul. Beide installiert die Hackergruppe auf den betroffenen Linux-Systemen. Das Kernelmodul dient als Rootkit, das sich tief im Betriebssystem einnistet, um unerkannt zu bleiben und Persistenz zu erlangen. Es lässt sich nur schwer wieder entfernen, läuft mit Root-Rechten und lässt die Hackergruppe das Linux-System vollständig kontrollieren. Ein Agent sorgt für den Austausch der gestohlenen Informationen oder Steuerungsbefehle zwischen dem Client und den Command-and-Control-Servern der Gruppe.
NSA und FBI ordnen Drovorub der russischen Hackergruppe APT28 zu, die bestimmte Server bei verschiedenen Operationen wiederverwendet. Laut den amerikanischen Behörden soll die Schadsoftware mit einem Command-and-Control-Server kommunizieren, der bereits 2019 für APT28-Angriffe gegen IoT-Geräte zum Einsatz kam. Microsoft hat die IP-Adresse bereits im Zusammenhang mit APT28 dokumentiert.
Holzfäller oder Treiber-Hacker
Welche Ziele die Hackergruppe mit der Schadsoftware angreift oder angegriffen hat, teilten die US-Behörden nicht mit. Unklar bleibt auch, wie lange die Schadsoftware bereits im Einsatz ist, und wie sie auf die Linux-Geräte gelangt. In der Vergangenheit setzte APT28 vor allem auf Phishing-Angriffe, um an Zugangsdaten zu gelangen oder Rechner zu infizieren. In ihrem Bericht veröffentlichen NSA und FBI Yara- und Snort-Regeln, um die Schadsoftware zu erkennen.
Der Name Drovorub stammt von der Schadsoftware selbst und bedeutet übersetzt Holzfäller, allerdings weist der ehemalige CTO der Sicherheitsfirma Crowdstrike, Dmitri Alperovitch, auf Twitter darauf hin, dass Drovo im russischen nicht nur Holz, sondern auch (Kernel-)Treiber bedeute. Also könnte Treiber-Hacker die korrektere Übersetzung sein.




