In Rechenzentren läuft sehr oft Linux.

Foto: Julie Carr Smyth / AP

Wer Schadsoftware sagt, denkt dabei meist an Windows. Und das nicht ganz zu Unrecht, immerhin ist Microsofts Betriebssystem besonders stark von Malware betroffen. Das bedeutet aber nicht, dass andere System immun gegen solche Umtriebe werden. Und dies verdeutlicht nun eine ungewöhnliche Ankündigung.

APT28

In einem gemeinsamen Bericht [PDF] warnen FBI und NSA vor einer bislang unbekannten Schadsoftware namens "Drovorub". Diese soll von der bekannten Hacker-Gruppe APT28, die auch unter dem Namen "Fancy Bear" bekannt ist, zur Spionage eingesetzt werden. Aufgabe der Malware ist es unbemerkt ganze Netzwerke zu unterwandern und dann Informationen abzugreifen.

Der Aufbau von Drovorub.
Grafik: NSA / FBI

Drovorub soll dabei aus mehreren Komponenten bestehen. Die wichtigste davon ist ein Kernelmodul, das auf geknackten Systemen eingerichtet wird, und als Rootkit dient. Damit sichern sich die Angreifer nicht nur einen uneingeschränkten Zugriff auf den betroffenenen Rechner, sie sorgen auch dafür, dass die Infektion nur schwer zu entdecken ist. Immerhin kümmert sich das Modul darum, dass die zugehörigen Prozesse versteckt werden, womit sie auch von Antivirenprogrammen nicht entdeckt werden können. Über einen eigenen Server am lokalen System werden dann Befehle von einem Command-and-Control-Rechner unter Kontrolle der Hacker entgegengenommen.

Offene Fragen

So detailliert der Bericht in Hinblick auf die technischen Fähigkeiten ist, so zurückhaltend gibt man sich bei Informationen über bisherige Einsätze. So ist nicht klar, wie lange die Schadsoftware bereits im Umlauf ist oder in welchen Kampagnen sie zum Einsatz kam.

APT28 wird unter anderem für die Angriffe auf den deutschen Bundestag sowie den illegalen Zugriff auf interne Mails der Demokraten im US-Wahlkampf 2016 verantwortlich gemacht. Experten gehen davon aus, dass die Gruppe dem russischen Militär zuzurechnen ist. (red, 14.08.2020)