NSA und FBI warnen vor russischem Linux-Rootkit

Nach Einschätzungen des NSA und des FBI haben im staatlichen Auftrag handelnde russische Hacker, die bereits als Fancy Bear, Strontium oder APT 28 in öffentlicher Erscheinung getreten sind und denen beispielsweise der erfolgreiche Cyberangriff auf den Deutschen Bundestag im Jahr 2015 zugeschrieben wird, eine neue Schadsoftware in den Umlauf gebracht.

Das aus mehreren Modulen bestehende Rootkit "Drovorub" richtet sich gegen Linux-Systeme und verankert sich nach erfolgreichem Befall tief in deren Kernel-Modul. Dort können die Angreifer uneingeschränkt Informationen aller Art abgreifen und erlangen vollständige Kontrolle über das System. Dazu richtet die Malware unter anderem einen eigenen Server auf dem Linux-Rechner ein, der sich via Command-and-Control-Server fernsteuern lässt.

Angaben beispielsweise dazu, wie lange das Rootkit bereits im Umlauf ist und wie viele Linux-Systeme es bereits kompromittieren konnte, machen die US-Geheimdieste nicht.

Als wichtigste Maßnahme, um die Anfälligkeit von Linux-Systemen für einen Drovorub-Befall zu verringern, empfehlen die US-Geheimdienste einen Kernel-Update auf mindestens Version 3.7 und die Unterbindung des Ladens von Modulen ohne gültiges digitales Zertifikat. Hinweise, wie das tief im System verankerte Rootkit aufzudecken ist, und zu gegebenenfalls notwendigen Maßnahmen für dessen Entfernungen geben NSA und FBI in einem ausführlichen  Cybersecurity Advisory .