Start Empfohlen Russland greift Linux mit Drovorub-Malware an

Russland greift Linux mit Drovorub-Malware an

4
0


Russische Flagge auf einem binären Hintergrund

Die NSA warnt vor einer neuen Runde von Cyberangriffen durch Russland. Dieses Mal zielt die GRU (Główny Zarząd Wywiadowczy, die Hauptnachrichtendirektion des russischen Generalstabs) auf Linux-Maschinen.

Um die Angriffe zu orchestrieren, verwendet die GRU eine Malware-Suite namens Drovorub. Die Suite besteht aus vier Modulen und verwendet eine Vielzahl von Techniken, um sich zu verbergen und der Entdeckung zu entgehen.

Siehe auch:

Die National Security Agency sagt nicht, wie lange die Malware im Umlauf ist, weist jedoch darauf hin, dass die für die Bereitstellung verantwortliche russische GRU 85th GTsSS unter verschiedenen Namen wie Fancy Bear, APT28 und Strontium operiert wurde. Drovorub ist nicht nur wegen der Schritte, die erforderlich sind, um sich zu verstecken, besorgniserregend, sondern auch wegen der Berechtigungen auf Root-Ebene, die es erhalten kann.

Die NSA beschreibt die Malware:

Drovorub ist ein Linux-Malware-Toolset, das aus einem Implantat in Verbindung mit einem Kernelmodul-Rootkit, einem Tool zur Dateiübertragung und Portweiterleitung sowie einem Command and Control (C2) Server besteht. Bei Einsatz auf einem Opfercomputer bietet das Drovorub-Implantat (Client) die Möglichkeit zur direkten Kommunikation mit der akteursgesteuerten C2-Infrastruktur (T1071.0011); Datei-Download- und Upload-Funktionen (T1041); Ausführung beliebiger Befehle als „root“ (T1059.004); und Portweiterleitung von Netzwerkverkehr zu anderen Hosts im Netzwerk (T1090). Das Kernel-Modul-Rootkit verwendet eine Vielzahl von Mitteln, um sich selbst und das Implantat auf infizierten Geräten zu verbergen (T1014) und bleibt bis zum Neustart eines infizierten Computers bestehen, es sei denn, der sichere UEFI-Boot ist im Modus „Vollständig“ oder „Thorough“ aktiviert.

Systemadministratoren wird empfohlen, auf Linux Kernel 3.7 oder höher zu aktualisieren, um Angriffe zu vermeiden, und Vorkehrungen zu treffen, um sicherzustellen, dass nur Module mit gültigen digitalen Signaturen geladen werden.

Weitere Details finden Sie in den NSA’s Hinweis.

Bildnachweis: GrAl / Shutterstock



Vorheriger ArtikelHUAWEI stellt offiziell die elegante P30-Serie von Android-Smartphones vor
Nächster ArtikelWindows 10 Mai 2020 Update bricht OneDrive Files On-Demand für einige Leute

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein