Eine gefährliche Linux-Malware namens Drovorub wurde kürzlich als Spionagetool entdeckt, das von russischen Hackern in Angriffskampagnen verwendet wird. Jüngste Nachrichten darüber zeigen, dass der Umfang der Eingriffe besonders stark sein könnte. Details dazu wurden von der NSA und dem FBI veröffentlicht.
NSA und FBI veröffentlichen Details zur Drovorub Linux-Malware: Berichten zufolge von russischen Hackern gemacht
Ein Joint Offenlegung Das FBI und die NSA geben Einzelheiten zur bisher unbekannten Drovorub Linux-Malware bekannt. Die Regierungsbehörden stellen in ihrer Offenlegung fest, dass der öffentliche Austausch von Informationen darüber erfolgt, um die Öffentlichkeit über die anhaltenden Bedrohungen für die Vereinigten Staaten und ihre Verbündeten aufzuklären. Nach den verfügbaren Informationen sind die Hacker politisch motivierte russische Kriminelle.
Die Entdeckung des Virus erfolgte durch Anhäufung der verschiedenen Geheimdienstquellen und der eigenen Analysekraft der Agenturen. In der Veröffentlichung sind auch Informationen aufgeführt, die von ausländischen Partnern und der IT-Branche stammen. Die US-Regierung beschuldigt die n Hauptnachrichtendirektion des Generalstabs (TURMDREHKRAN) 85Haupt-Servicezentrum (GTsSS) für die Entwicklung der Linux-Malware. Was über diese Organisation bekannt ist, ist, dass sie viele komplexe Methoden und Techniken verwendet, um die hoch entwickelten Bedrohungen zu entwickeln. Die Drovorub Linux-Malware wird als beschrieben Mehrkomponenten-Bedrohung enthält mehrere gefährliche Module.
Droorub Linux Malware-Funktionen: Ein genauer Blick
Die Infektion erfolgt durch die Ausführung eines lokalen Agenten. Dies bedeutet, dass die Hacker Verteilungstechniken verwenden müssen, mit denen dieser anfängliche Loader auf den Zielsystemen installiert wird.
Sie können, umfassen verschiedene Phishing-Strategien die die Opfer verwirren sollen, zu glauben, dass sie auf legitime Inhalte zugreifen. Beliebte Träger solcher Inhalte sind E-Mail-Nachrichten und speziell erstellt Hacker-kontrollierten Websites. Sie können auf ähnlich klingenden Domainnamen gehostet werden und gefälschte Inhalte und selbstsignierte Sicherheitszertifikate verwenden, um die Opfer zu manipulieren. Mit diesen Trägern können die Virendateien direkt als Download geliefert oder als Links eingefügt werden.
Alternative Techniken sind die Verwendung von direkte Hacking-Angriffe die versuchen, erkannte Sicherheitslücken auszunutzen. Es kann auch von anderer Malware wie Trojanern und Ransomware installiert werden. Von Natur aus sollte es als eine Form von a geliefert werden Rootkit — Ein fortgeschrittener Virus, der sich stillschweigend in Kernbetriebssystemmodulen installieren sollte. Dies macht das Erkennen und Entfernen sehr schwierig.
Nach der Bereitstellung auf einem bestimmten Linux-System startet der Virus den lokalen Agenten, der eine Verbindung zu einem von Hackern kontrollierten Server herstellt, sodass die Remoteangreifer die Kontrolle über die Computer übernehmen und vertrauliche Daten stehlen können. Es wurde gezeigt, dass die Drovorub Linux-Malware die folgenden Funktionen enthält:
- Systemprozessanschlüsse — Die Drovorub-Malware kann sich an laufende System- und vom Benutzer installierte Prozesse anschließen. Dies wird verwendet, um Administratorrechte zu erhalten und Konfigurationsdateien des Kernsystems zu bearbeiten. Dies kann zu schwerwiegenden Leistungsproblemen und Datenverlust führen.
- persistent Installations — Die Malware kann sich als dauerhafte Bedrohung auf Linux-Systemen festlegen. Dies bedeutet, dass die Bedrohung beim Booten gestartet wird.
- Informationsrückgewinnung — Mithilfe der Netzwerkkommunikation können Computerkriminelle vertrauliche Informationen extrahieren, die sich auf dem System befinden, sowie Dateien.
- Sicherheitsumgehung — Der Virus kann erkennen, ob Sicherheitsanwendungen und -dienste installiert sind, und deren Scans umgehen.
Aufgrund seiner Komplexität wird angenommen, dass die Angreifer das Virus für Spionagezwecke verwenden. Systemadministratoren wird empfohlen, Kernelmodule zu installieren, die nur mit einer vertrauenswürdigen und gültigen digitalen Signatur signiert sind. Viele Kriminelle verwenden sie als Träger für die Malware.