FBI und NSA warnen vor neuer Linux-Malware

FBI und NSA warnen vor neuer Linux-Malware

In einem Joint Bericht Informationen des Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) zu einer neuen, zuvor nicht gemeldeten Malware namens Drovorub wurden der Öffentlichkeit zugänglich gemacht. Die Malware wurde von den beiden Agenturen APT28 zugeschrieben, einer Gruppe mit einer Vielzahl von Codenamen, die jedoch als verfolgt werden Lust auf Bär durch diese Veröffentlichung. Der Bericht enthält eine Fülle technischer Informationen für alle, die ihr Linux-System härten müssen, um nicht Opfer einer Drovorub-Infektion zu werden.



Die Malware selbst wurde als „ Schweizer Taschenmesser ”Da es sich um eine Mehrkomponenten-Malware handelt. Die Malware besteht aus einem Implantat, einem Kernelmodul-Rootkit, einem Dateiübertragungstool, einem Portweiterleitungsmodul und einem Command-and-Control-Server (C2). Auf diese Weise kann die Malware eine Vielzahl von Funktionen ausführen, darunter das Stehlen von Daten und die Fernsteuerung des infizierten Systems. Die Malware erreicht ein hohes Maß an Stealth und ist sehr schwer zu erkennen, was der Malware durch die Verwendung eines Advanced gewährt wird Rootkit . Ein Rootkit wird normalerweise als bösartiger Code definiert, der Root-Zugriff auf das infizierte System erzielt, indem er privilegierten Zugriff auf das System erhält. Von dort aus können sie für eine Vielzahl von Aufgaben verwendet werden, darunter Keylogging, Datendiebstahl, Deaktivierung von Antivirenprodukten und eine Vielzahl anderer Vorgänge, die von staatlich geförderten Gruppen bevorzugt werden. Im Fall von Drovorub ermöglicht das Rootkit das Laden der Malware beim Booten, was die Persistenz im infizierten Netzwerk weiter erhöht, da die Malware im Gegensatz zu vielen anderen Malware-Familien einen Systemneustart überlebt. Darüber hinaus ermöglicht die Verwendung eines solchen fortschrittlichen Rootkits Fancy Bear, eine Vielzahl von Zielen zu infizieren und jederzeit Angriffe auszuführen.



In dem von den beiden Agenturen herausgegebenen Bericht werden zwar keine spezifischen Ziele genannt, es kann jedoch davon ausgegangen werden, dass Organisationen in Nordamerika gezielt angesprochen werden, da sie Hackern aller Art eine Fülle von Möglichkeiten bieten, sei es staatlich gefördert oder finanziell motiviert . Es wird befürchtet, dass die Malware aufgrund ihrer Verstohlenheit und Nützlichkeit bei Cyberspionage und Wahlstörungen eingesetzt werden kann.

fbi und nsa warnen vor drovorub linux malware



Der 45 Seiten lange Bericht enthält einige wichtige Details, wobei eine Zusammenfassung der interessanteren Teile hier wiedergegeben wird. Die Malware wird weder vom FBI noch von der NSA benannt und ist der Name, der von Fancy Bear verwendet wird und grob übersetzt werden kann, um Brennholz zu hacken. Die Zuordnung der Malware zu Fancy Bear wurde durch die Hacker ermöglicht, die Server über mehrere Kampagnen hinweg wiederverwendeten, einschließlich eines Vorgangs, bei dem Drovorub verteilt wurde.

Drovorub für IoT-Geräte

Fancy Bear hat die Angewohnheit, Anfang 2019 auf IoT-Geräte (Internet of Things) abzuzielen aufgedeckt Eine Kampagne, die IoT-Geräte infizieren kann. Im selben Jahr wieder Microsoft unbedeckt eine weitere Kampagne für IoT-Geräte. Details der späteren Kampagne wurden im August bekannt gegeben, aber laut Forschern konnte die Aktivität von Fancy Bear bis April zurückverfolgt werden, als die Gruppe versuchte, mehrere IoT-Geräte zu kompromittieren. Zu den Geräten gehörten ein VOIP-Telefon, ein Bürodrucker und ein Videodecoder. Zu der Zeit erklärte der Redmond IT-Riese:

„Die Untersuchung ergab, dass ein Schauspieler diese Geräte verwendet hatte, um ersten Zugriff auf Unternehmensnetzwerke zu erhalten. In zwei Fällen wurden die Kennwörter für die Geräte bereitgestellt, ohne die Kennwörter des Standardherstellers zu ändern, und in dritter Instanz wurde das neueste Sicherheitsupdate nicht auf das Gerät angewendet. Nachdem der Akteur Zugriff auf jedes der IoT-Geräte erhalten hatte, führte er tcpdump aus, um den Netzwerkverkehr in lokalen Subnetzen zu überwachen. Sie wurden auch gesehen, wie sie Verwaltungsgruppen aufzählten, um eine weitere Ausbeutung zu versuchen. Wenn der Schauspieler von einem Gerät auf ein anderes wechselte, löschte er ein einfaches Shell-Skript, um die Persistenz im Netzwerk herzustellen, die einen erweiterten Zugriff ermöglichte, um die Jagd fortzusetzen. “



Nach Angaben des FBI und der NSA wurde Drovorub in mindestens einem dieser Fälle eingesetzt. Die Verbindung zwischen der Kampagne und der Malware wurde hergestellt, nachdem festgestellt wurde, dass dieselbe IP-Adresse verwendet wurde, die zuvor von Microsoft dokumentiert wurde. Die Agenturen bestätigten die Ergebnisse von Microsoft und stellten fest, dass

„Zusätzlich zur Zuordnung von NSA und FBI zu GTsSS wurde die operative Drovorub-Befehls- und Kontrollinfrastruktur mit der öffentlich bekannten operativen Cyberinfrastruktur von GTsSS in Verbindung gebracht. Beispielsweise veröffentlichte das Microsoft Security Response Center am 5. August 2019 Informationen zur Verknüpfung der IP-Adresse 82.118.242.171 mit der Strontium-Infrastruktur im Zusammenhang mit der Nutzung von IoT-Geräten (Internet of Things) im April 2019. (Microsoft Security Response Center, 2019) (Microsoft, 2019) NSA und FBI haben bestätigt, dass dieselbe IP-Adresse im April 2019 auch für den Zugriff auf die Drovorub C2-IP-Adresse 185.86.149.125 verwendet wurde. “

Der von den beiden US-Behörden veröffentlichte Bericht enthält ausführliche Informationen zu den technischen Details der Malware. Dies umfasst Anleitungen zum Ausführen von Volatility, zum Überprüfen des Versteckverhaltens von Dateien, Snort-Regeln und Yara-Regeln für Administratoren, um geeignete Erkennungsmethoden zu entwickeln und Netzwerke zu schützen. Auch die Sicherheitsfirma McAfee veröffentlicht Ein Blog-Artikel mit weiteren Sicherheitsmaßnahmen und Empfehlungen zum Scannen nach Rootkits und zum Härten der anfälligen Linux-Kernel. Für alle, die mit der Verteidigung von Netzwerken beauftragt sind, auf die staatlich geförderte Gruppen abzielen, sollten diese Berichte als Pflichtlektüre angesehen werden. In Bezug auf vorbeugende Maßnahmen empfehlen die oben genannten Agenturen Administratoren, den Linux-Kernel auf Version 3.7 oder höher zu aktualisieren. Dies dient dazu, die Betriebssystemfunktion zu nutzen, die die Durchsetzung der Kernel-Signatur implementiert. Außerdem sollten Administratoren Systeme so konfigurieren, dass das System nur Module mit einer gültigen digitalen Signatur lädt.

Warum Linux- und IoT-Geräte?

Für viele stellt sich die Frage, warum überhaupt Malware für Linux erstellt wird. Die Gründe sind vielfältig, aber einer der Hauptgründe ist, dass Linux Open Source ist und immer mehr Hersteller und große Unternehmen Hardware unter Linux einsetzen, sodass Hacker immer mehr Linux-Malware entwickeln müssen. Es ist richtig, dass die überwiegende Mehrheit der Malware auf Microsoft-Benutzer abzielt, da das Betriebssystem eine viel größere Benutzerbasis hat und Schwachstellen in Microsoft-Produkten möglicherweise eine effektivere Malware ermöglichen. Die Verwendung von Linux hat jedoch deutlich zugenommen. Diese Zunahme hat wiederum dazu geführt, dass Malware-Entwickler immer mehr auf Linux blicken.

Der zweite Teil der Frage ist, warum IoT-Geräte als Ziel ausgewählt werden. Wieder sind die Gründe zahlreich, aber Linux ist das geworden Betriebssystem der Wahl für IoT-Geräte. Da diese Geräte in immer größerer Anzahl hergestellt werden, steigt auch die Anzahl der Geräte, auf denen eine Linux-Version oder eine andere ausgeführt wird. Für Entwickler ist der Open-Source-Charakter von Linux attraktiv, spart Kosten und ermöglicht vollständige Transparenz des Betriebssystems. Dies bedeutet, dass Entwickler Zugriff auf das gesamte Betriebssystem haben und bessere Softwareprodukte entwickeln können, die darauf ausgeführt werden können. Dies hat wiederum Hacker angezogen, die jetzt Fehler finden und ausnutzen können, die bisher am besten übersehen wurden.

Für Fancy Bear führen diese Gründe zu Zielen, die nicht länger ignoriert werden können. Dies geht einher mit dem Wissen, dass viele der weltweit größten Organisationen und Regierungsbehörden Linux in der einen oder anderen Version bereitstellen, sei es über IoT-Geräte oder über Server. Das Equifax Breach ist ein hervorragendes Beispiel dafür, obwohl der Zugriff auf das Netzwerk nicht unbedingt von einer staatlich geförderten Gruppe durchgeführt wird, sondern über eine Sicherheitslücke in Apache Struts, einem beliebten Webentwicklungsframework für Linux, das normalerweise auf Servern zu finden ist. Sicherheitsforscher Ian Folua, entdeckt Diese Hälfte der Fortune 100-Unternehmen verwendete Apache Struts in der einen oder anderen Form.

Für Cyberspionage und andere Aktivitäten im Zusammenhang mit Fancy Bear wäre es dumm, solche Ziele zu ignorieren. Es kann auch davon ausgegangen werden, dass viele Regierungen und ihre Organisationen auf der ganzen Welt auch Apache Struts- oder Linux-Kernel in ihrer Infrastruktur verwenden würden. Dieses Problem wird durch große Netzwerke mit einer Vielzahl von Softwarepaketen weiter verstärkt, was es wiederum schwierig macht, das gesamte Netzwerk zu realisieren und zu patchen, was gepatcht werden muss. Um dem entgegenzuwirken, empfiehlt Ian Folua, dass Administratoren beginnen, das Ausmaß der im Netzwerk verwendeten Open Source-Pakete und -Tools herauszufinden und diese dann für Updates zu verfolgen. Der durchschnittliche Entwickler kann fünf neue Open-Source-Tools pro Monat verwenden, sodass die Verfolgung dieser Tools für die Unternehmenssicherheit von entscheidender Bedeutung sein kann.

Wie entferne ich meinen Schnellkonverter vom Mac?

Interessante Artikel

Verhindern Sie, dass Sie von 0fficial.info betrogen werden

Verhindern Sie, dass Sie von 0fficial.info betrogen werden

So entfernen Sie 0fficial.info POP-UP-Betrug (Mac) - Anleitung zum Entfernen von Viren (aktualisiert)

Wie behebe ich den Fehlercode 80244019 für die Aktualisierung von Witwen?

Wie behebe ich den Fehlercode 80244019 für die Aktualisierung von Witwen?

Wie behebe ich den Fehlercode 80244019 für die Aktualisierung von Witwen?

So entfernen Sie die Anwendung Get Speed ​​Test Fast

So entfernen Sie die Anwendung Get Speed ​​Test Fast

So entfernen Sie Get Speed ​​Test Fast Browser Hijacker - Anleitung zum Entfernen von Viren (aktualisiert)

Betrug des Justizministeriums

Betrug des Justizministeriums

So entfernen Sie Betrug durch das Justizministerium - Schritte zum Entfernen von Viren (aktualisiert)

So entfernen Sie den Browser-Hijacker My Video Converter

So entfernen Sie den Browser-Hijacker My Video Converter

So entfernen Sie My Video Converter Browser Hijacker - Anleitung zum Entfernen von Viren (aktualisiert)

Vertrauen Sie nicht Websites, die die Registrierung von Domainnamen-Suchmaschinen anbieten.

Vertrauen Sie nicht Websites, die die Registrierung von Domainnamen-Suchmaschinen anbieten.

So entfernen Sie Domain Name Search Engine Registration Scam - Anleitung zum Entfernen von Viren

Rufen Sie den Microsoft Support Scam an

Rufen Sie den Microsoft Support Scam an

So deinstallieren Sie Microsoft Support Scam anrufen - Anweisungen zum Entfernen von Viren (aktualisiert)

Chase Bank Wichtige Kontodokumente E-Mail-Virus

Chase Bank Wichtige Kontodokumente E-Mail-Virus

So entfernen Sie Chase Bank Wichtige Kontodokumente E-Mail-Virus - Anweisungen zum Entfernen von Viren (aktualisiert)

Safebrowsing.biz Weiterleiten

Safebrowsing.biz Weiterleiten

So entfernen Sie Safebrowsing.biz Redirect - Anleitung zum Entfernen von Viren (aktualisiert)

Nützliche Tipps und Tricks zu Microsoft Windows 8.1 Teil 1

Nützliche Tipps und Tricks zu Microsoft Windows 8.1 Teil 1

Nützliche Tipps und Tricks zu Microsoft Windows 8.1 Teil 1


Kategorien