FBI und NSA warnen vor Linux-Malware "Drovorub" russischer Staatshacker

Ungewohnt detailliert beschreiben US-Behörden in einem Bericht die technischen Einzelheiten eines Linux-Rootkits des Militärgeheimdienstes GRU aka APT28.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 119 Beiträge

(Bild: Skorzewiak/Shutterstock.com)

Von
  • Olivia von Westernhagen

FBI und NSA haben einen Bericht mit technischen Details zu einer zuvor unentdeckten Linux-Malware veröffentlicht, die derzeit aktiv vom russischen Militärgeheimdienst GRU beziehungsweise von dessen Untereinheit GTsSS für komplexe zielgerichtete Angriffe – sogenannte Advanced Persistent Threats (APT) – eingesetzt werden soll.

Die US-Sicherheitsbehörden setzen GTsSS mit der unter anderem auch als APT28, Sofacy oder Fancy Bear bekannten Angreifergruppe gleich. Die Gruppe APT 28, die auch nach Einschätzung der Bundesregierung mit "an Sicherheit grenzender Wahrscheinlichkeit" zum GRU gehört, wird unter anderem vom BSI für den Einbruch in den Deutschen Bundestag verantwortlich gemacht. Laut einer Pressemitteilung von FBI und NSA stellt Drovorub eine Gefahr für "Nationale Sicherheitssysteme, das Verteidigungsministerium und Kunden der Rüstungsindustrie" dar, sofern diese Linux verwenden. Weitere beziehungsweise konkretere Ziele nennen die Behörden nicht.

Für Veröffentlichungen von US-Regierungsbehörden ungewohnt detailreich ist hingegen der 38-seitige Drovorub-Bericht von FBI und NSA. Er ist eine empfehlenswerte Lektüre für jeden ITler, der einmal in die Situation kommen könnte, einen APT-Vorfall untersuchen zu müssen und vorab ein Gefühl dafür bekommen möchte, was ihn erwartet. Viele der enthaltenen Informationen dürften sich, teils auch plattformübergreifend, auf andere weniger gut dokumentierte APT-Angriffswerkzeuge übertragen lassen.

Drovorub ist ein typisches Post-Exploitation-Tool, das erst zum Einsatz kommt, nachdem ein Angreifer die volle Kontrolle über ein System erlangt hat. Das kann zum Beispiel über Sicherheitslücken im System oder installierter Software oder etwa gestohlene SSH-Schlüssel erfolgen. Einmal auf dem System, agiert Drovorub als Rootkit, das sich selbst und einen Satz von Tools auf einem kompromittierten Linux-System versteckt. Dazu lädt er ein Kernel-Modul, das unter anderem eigene Prozesse, Dateien und Netzwerk-Aktivitäten vor allen anderen Prozessen auf dem System versteckt. Daher ist es schwierig, ihn aufzuspüren, ohne von "außen" auf das System zu schauen.

Eine der Hauptaufgaben der modular aufgebauten Malware besteht in der Kommunikation mit dem Command&Control-Server der Angreifer. Dabei dient Drovorub auch als eine Art Vermittler oder "Brückenkopf" im Zielnetz, über den der Angreifer dann (via Port Forwarding) andere Systeme im angegriffenen Netz erreichen kann. Dank Up- und Download-Funktionen ist das Exfiltrieren sensibler Daten ebenso möglich wie das Nachladen weiteren Schadcodes. Drovorub bringt außerdem ein Shell-Modul mit, das dem Angreifer das Ausführen von Befehlen mit root-Rechten aus der Ferne erlaubt.

Bezüglich vorbeugender Maßnahmen gegen Drovorubs unsichtbare Einnistung auf Linux-Servern ist der sonst umfangreiche Bericht recht knapp gehalten: Im Abschnitt "Preventative Mitigations" raten FBI und NSA Linux-Admins dazu, mindestens die Kernel-Version 3.7 von 2012 zu verwenden und regelmäßig sämtliche verfügbaren Software-Updates einzuspielen. Seit Version 3.7 kann Linux Kernel-Module signieren und die Signatur vor dem Laden prüfen, um ihre Unversehrtheit sicherzustellen. Admins sollen ihre Systeme dementsprechend so konfigurieren, dass ausschließlich Module mit valider digitaler Signatur geladen werden können.

Die genannten Maßnahmen, so betonen die US-Behörden im Bericht, schützen nur vor Drovorubs dauerhaftem Verbleib und "Versteckspiel" auf dem System, nicht aber vor der eigentlichen, vor der Rootkit-Installation erfolgenden Kompromittierung. Da die Einfallstore bei gezielten Angriffen von Fall zu Fall sehr unterschiedlich sein können, gibt es hier (leider) kein Patentrezept.

Lesen Sie auch

Auch interessant: Der IT-Sicherheitstag von heise Events:

(ovw)