NSA en FBI publiceren details over Linux-malware 'van Russische staatshackers'

De NSA en FBI publiceren in een gezamenlijk document de details van Drovorub, een tot nu toe nog onbekende toolset met Linux-malware die ingezet zou zijn door het team van Russische staatshackers naar wie met de namen Fancy Bear en APT28 verwezen wordt.

Drovorub richt zich specifiek op Linux-systemen en bestaat uit een implant met een kernel-modulerootkit, een tool voor port forwarding en een voor het verzenden van bestanden, in combinatie met een command & control-server. Bij een succesvolle aanval kan Drovorub direct communiceren met de c&c-server en zo bijvoorbeeld bestanden wegsluizen of binnenhalen, en commando's als root op een getroffen systeem uitvoeren. Daarnaast beschikt de toolkit over technieken die detectie op de host bemoeilijken. Dat schrijven de NSA en de FBI in hun rapport over Drovorub.

De malware zou niet eerder beschreven zijn en zou zijn ingezet door de Russische militaire eenheid 26165 van de GRU, een team van staatshackers dat door beveiligingsbedrijven ook wel Fancy Bear, APT28 en Strontium genoemd wordt. De FBI en NSA adviseren systeembeheerders om te updaten naar Linux-kernel 3.7 vanwege de ondersteuning voor ondertekende kernelmodules. Daarmee moet elke kernelmodule die geladen wordt, ondertekend zijn met een in de kernel gecompileerde sleutel.

De Amerikaanse beveiligingsdiensten geven geen details over de inzet door de Russische staatshackers en niet duidelijk is daarom welke doelwitten deze op het oog hadden. In het document stellen de Amerikanen dat de informatie wordt vrijgegeven zodat beheerders van beveiligde systemen en anderen de Russen van hun systemen kunnen weren. Daarbij leggen ze een link met de inmenging in de presidentiële verkiezingen van 2016 als voorbeeld van de dreiging die vanuit de staatshackers uitgaat.

In een aanvullende verklaring meldt de NSA dat de malware een bedreiging vormt voor de overheid omdat bijvoorbeeld systemen van het ministerie van Defensie op Linux draaien. De organisatie roept betrokkenen op actie te ondernemen tegen Drovorub. De naam komt volgens het onderzoek van drovo, Russisch voor hout en rub, wat te vertalen is als hakken. Drova zou echter ook gebruikt worden om drivers aan te duiden. Saillant detail is dat het Twitter-account van een Amerikaanse eenheid voor offensieve cyberaanvallen naar het onderzoek verwijst en daar Russia Today op attendeert. Russia Today wordt door critici gezien als een propagandakanaal van de Russische overheid.

Drovorub NSA FBI

Reacties (61)

zyphr 13 augustus 2020 23:39

Waarom alleen de term "staatshackers" als het over China, Rusland, Iran etc gaat?
Ieder land doet dit, ook onze "staatshackers" hier in Nederland.

Unipuma @zyphr • 14 augustus 2020 08:50

Met 'staatshackers' wordt hier bedoeld dat het wordt uitgevoerd door ambtenaren, dus mensen die niet hun inkomsten halen uit activiteiten die ze middels hacks uitvoeren. Dan spreken we over cybercriminelen (of een ander mooi, hip woord).
Specifiek gaat het hier dus om een door een overheid gefinancierde en bestuurde eenheid.

Nederland heeft ook staatshackers (bijvoorbeeld de onderschepping van het encrypted messaging platform onlangs wat door veel criminelen werd gebruikt). De bovengenoemde software is echter niet uit Nederland afkomstig.

svane @zyphr • 14 augustus 2020 12:03

Bij een vorige artikel werd een vergelijkbare vraag gesteld, net als toen is mijn antwoord weer:

Waarom denk je dat?

Tweakers heeft het in het geval van de VS ook gewoon over 'staatshackers':

'Amerikaanse staatshackers hebben Iraanse raketsystemen onklaar gemaakt'

En waneer Nederlandse staatshackers worden ingezet doet Tweakers er ook niet geheimzinnig over. (oké, het is niet letterlijk de term 'staatshackers', maar het is wel duidelijk dat dit gewoon onderdeel van de AIVD was).

Ook bij Russische hacks wordt op Tweakers niet altijd het woord 'staatshackers' gebruikt.

ShadowBenji @zyphr • 14 augustus 2020 01:32

Ik denk dat het komt omdat landen zoals China, Rusland en etc. bezig zijn om belangrijke data in handen te krijgen uit belang van de staat. In Nederland hebben wij ze ook, maar die zijn bezig om de Nederlandse veiligheid te waarborgen

amx @ShadowBenji • 14 augustus 2020 11:08

Accurate:

Captain Darling : So you see, Blackadder, Field Marshall Haig is most anxious to eliminate all these German spies.

General Melchett : Filthy hun weasels, fighting their dirty underhand war!

Captain Darling : And fortunately, one of our spies...

General Melchett : Splendid fellows, brave heroes risking life and limb for Blighty!

Blackadder Goes Forth

[Reactie gewijzigd door amx op 24 juli 2024 03:44]

janbaarda @ShadowBenji • 14 augustus 2020 03:12

Een beetje kromme redenering: Als wij het doen is het voor de veiligheid van de staat, als zij het doen is het uit staatsbelang. In mijn ogen precies hetzelfde. Uit ervaring weten we dat je "staten" niet op hun blauwe ogen mag geloven. B.v. van de VS is bewezen dat ze commerciële gegevens (nog niet vrijgegeven offerte details) tijdens een aanbesteding voor vliegtuigen (van Airbus) doorspeelden aan hun voorkeurspartij (Boeing).

Gezien de grote belangen en de haast absolute invloed van grote bedrijven op hun overheden, ga ik er vanuit dat hebberigheid nog steeds de boventoon speelt bij alle partijen.

well0549 @Verwijderd • 14 augustus 2020 07:17

Nee is niet het zelfde....

De propaganda machine zegt... Alle vijanden die dit doen zij staats hackers...

En als rij het doen is het voor de veiligheid....

Bullshit natuurlijk...

Kijk maar naar stuxnet, kwam ook van staats hackers, alleen omdat het uit Israël en Amerika kwam is het nooit zo benoemd....

Maar was natuurlijk een terroristische daad tegen een souvereine staat..

Waar staats hackers/terroristen uit Nederland ook nog een rol bij hebben gespeeld

[Reactie gewijzigd door well0549 op 24 juli 2024 03:44]

Verwijderd @well0549 • 14 augustus 2020 11:01

Dat een propagandamachine dingen beweert die niet waar zijn of verdraaid is zo oud als Rome. Dat geschiedenis geschreven wordt door overwinnaars is ook gesneden koek. Dat betekent niet dat alles opeens hetzelfde, een leugen en slecht is. Elke dag worden wij gebombardeerd met halve waarheden of leugens. We worden geacht kritisch en objectief te zijn. Weinigen kunnen dat. Je kan ook alijd de discussie induiken wat nou een soldaat is en wat een vrijheidstrijder. Of een terrorist. Hangt ervan af aan wie je het vraagt en aan welke kant.
Dat de Amerikanen informatie vrijgeven over hackers en hun tooling, zal uiteraard een reden voor hun hebben, die wij misschien niet zullen achterhalen. Het is echter wel goed om te weten (als systeembeheerder bijvoorbeeld) waar er eventueel kwetsbaarheden in hun systeem kunnen zitten en dat ze daarmee aan de slag kunnen, met goed verstand, En volgens mij is dit de essentie van het verhaal hierboven bij Tweakers. Persoonlijk vind ik het geneuzel over wat wel of niet staatshackers zijn en het zoeken naar de precieze scheidingslijn.
De reacties gaan zo vaak over randzaken: het gebruik van het woord staatshacker, wij doen het, zij doen het ook en men modereert de randzaken ook nog omhoog. Terwijl bovenstaand artikel niet de titel had: "Amerikanen noemen Rusische hackers Staatshackers!"

tweaknico @Verwijderd • 14 augustus 2020 10:39

NL heeft geassisteerd bij stuxnet.. blijkt. Dat kun je met geen mogelijkheid defensief noemen.
(of het is net zo defensief als een Bom op Natanz gooien in het kader van preventie).
De term staatshackers wordt stelselmatig gebruikt in de negatieve connotatie bij wij/zij tegenstellingen, waarbij "ZIJ" altijd beschikking hebben over staathackers. (en door associatie WIJ er een gebrek aan hebben of het is alleen defensief...).

Staatshackers zijn dus de mensen in dienst van de overheid die de technologie ANDERS gebruiken dan voorheen aangenomen was dat iets gebruikt kon worden.
Volgens die meer correcte definitie heeft vrijwel elk land met een ICT infrastructuur en een vorm van "Afdeling Stiekum" staatshackers op de payrol. OOK NL. (Sterker nog, ze worden zeker een maal per jaar uitgenodigd om te solliciteren via Tweakers).

Overigens zijn er meer "hackers" binnen de overheid dan de hiervoor genoemde "staathackers" gezien de hoeveelheid manieren waarop de Overheid laat zien hoe ICT en Overheid kunnen falen.

[Reactie gewijzigd door tweaknico op 24 juli 2024 03:44]

Verwijderd @tweaknico • 14 augustus 2020 11:17

Zonder twijfel. Ik heb ook niet beweerd dat Nederland geen staatshackers heeft. Ik heb letterlijk gevraagd:

"Maar jij beweert dus dat Nederlandse staatshackers hetzelfde opereren en met hetzelfde doel als Rusische staatshackers"? Als jij dan antwoord met: Ja, Bijvoorbeeld Stuxnet! Dan zijn we in gesprek.

Daarnaast vraag ik me af hoe relevant is dat die discussie bij dit artikel (en zovele van dit soort artikelen) gevoerd wordt. Is het nou de bedoeling om te beweren dat omdat Nederland ook staatshackers heeft en dat dit artikel daarom niet klopt? Of andersom? Of dat wij het niet moeten vertrouwen, omdat wij (Nederland) ook staatshackers hebben?

tweaknico @Verwijderd • 14 augustus 2020 11:23

In dit geval (en sommige anderen ook) is er blijkbaar een gedachte dat als "anderen" / "zij" het doen dat het fout is en dat als "Wij" het doen dat het goed is... waarbij "Hackers" = fout duidelijk ge-etaleerd wordt.
m.i. is "hacking" niet goed of fout, het is een manier van denken over technologie.

Een slotenmaker is een sloten-hacker, omdat die een slot op een andere manier kan openmaken dan met een sleutel of de deur uit de sponning beuken?. is hij daarom boef, inbreker etc.? of de held die jou weer je huis binnenlaat omdat je jezelf buitengesloten hebt.

twizzle @tweaknico • 16 augustus 2020 00:48

In het geval van Stuxnet heeft Iran waarschijnlijk de technologie van ons gestolen dus dan is een retalieerende actie wel degelijk te rechtvaardigen.

tweaknico @twizzle • 17 augustus 2020 11:28

Eh Nee...., Pakistan heeft ooit kennis "gestolen". Maar dat was ondanks waarschuwingen richting veiligheidsdiensten over dhr Kahn voordat hij met de buit vertrokken was. Dus de NL overheid is is deel nalatig geweest of heeft de diefstal misschien wel gesteund...? En heeft daarna de klokkenluider hard aangepakt.

De klokkenluider in kwestie is daarna het werken vrijwel onmogelijk gemaakt DOOR DE NL overheid.
dat was ruim 40 jaar geleden.... sinds kort heeft de man (Frits Veerman) eerherstel gekregen.
https://www.nd.nl/nieuws/...stal-atoomgeheimen-meldde

Verwijderd @zyphr • 14 augustus 2020 06:52

Wat bedoel jij met "dit"? Heb jij een bron/bewijs hiervan dat onze "staatshackers" "dit" doen? Of ga jij er gewoon van uit en lijkt het jou logisch dat elk land hun middelen gebruikt om de ander schade te berokkenen?

droner @zyphr • 14 augustus 2020 13:57

Standaardreactie bij berichten over cyber agressie uit Rusland en China he: en wij dan, of nog vaker: en de VS dan.

The whataboutisme is strong in here hmm hmm.. zo sterk dat de eigen argumenten ook nieteens meer zorgvuldig gekozen worden, zoals svane terecht opmerkt.

Ome Ernst 13 augustus 2020 20:41

Kernel 3.7 is van 10 december 2012. Het lijkt me dat zelfs voor, of juist voor, systemen die zakelijk gebruikt worden, zelfs deze kernel al schaars gebruikt wordt, en in plaats daarvan een nieuwere.

batjes @Ome Ernst • 13 augustus 2020 23:22

Dat zal je tegen vallen. Een aantal jaar geleden heeft 4chan/anonymous via duizenden Linux servers toen de halve wereld lopen DDOSen. Wat bleek, een groot gedeelte van de Linux servers die in gebruik waren, werden absoluut niet onderhouden. Updaten was een uitzondering.

Volgens mij ook een statement van Leaseweb (oid) dat ze erkende niet de moeite te nemen vele van hun Linux servers up te daten vanwege de hoeveelheid werk die daar in zat.

MtC @Ome Ernst • 13 augustus 2020 20:44

Laatst bij een klant zelfs nog een Red Hat 6 in productie. Mind you, “Red Hat 6”, niet “Red Hat Enterprise Linux 6”.

Wim-Bart @MtC • 14 augustus 2020 00:55

Heb laatst een systeem met RH 6 uitgezet bij ons, gewoon omdat ik het te eng vond. En staat nu 2,5 maand uit, en nog niemand horen klagen, dan begin ik me wel wat af te vragen.

Nu alle RH7 systemen nog...

Tr1pke @Wim-Bart • 14 augustus 2020 07:44

Daar werkt een slechte systeembeheerder zou ik zeggen. Als je servers laat draaien voor niemand of niets. . .

raptorix @Tr1pke • 14 augustus 2020 08:05

Het punt is dat bij veel bedrijven niet 1 systeembeheerder werkt, maar soms tientallen of honderden, als dan in het verleden niet alles goed gedocumenteerd is, dan kan het nogal lastig zijn om te achterhalen wat onnodig staat de draaien, een goede manier is de "piep" methode, je zet de server uit, vervolgens wacht je een paar weken, en als niemand klaagt, archiveer je de server.

Een andere zaak die ik een paar keer heb voorbij zien gekomen was dat een klant inmiddels weg was, maar nog wel betaalde voor een acceptatie omgeving, maar deze niet meer gebruikte, dan zie je ook nog al eens dat het onderhoud wat verwatert.

[Reactie gewijzigd door raptorix op 24 juli 2024 03:44]

Tr1pke @raptorix • 14 augustus 2020 08:17

Vreemd. Wij weten perfect wat er draait en wat nodig is op onze servers

kodak

Beveiliging en antivirus
Malware

@Tr1pke • 14 augustus 2020 12:19

Linux zit niet alleen in de eigen servers. Het is onderdeel van zeer veel services en apparaten. Dit gaat dus niet alleen om jullie servers maar om tal van systemen. De definities van onze en perfect weten willen daarbij in de praktijk nog verschillen. Daar is helaas niets vreemds aan. Van ieder systeem weten hebben welke firmware, welke aangepaste (linux) kernel in de firmware, welke proprietary drivers, hardware (sub)componenten, etc je afhankelijk bent is meestal een lastige opgave. Als het voor je eigen servers lukt zijn er bij veel bedrijven ook nog afhankelijkheid van servers of systemen die van anderen of anderen verantwoordelijkheid over hebben waardoor de perfectie drastisch beperkter kan zijn. Denk aan de netwerkprinters, de cameras, telefoons, monitors, airco, wat vaak linux-gebaseerd is waarover je niets te zeggen hebt op welke versie van een kernel ze werken. Denk aan de mailservices van een ingehuurd bedrijf dat de reclame regelt, je callcenter verzorgt, websites voor je bouwt en test, de digitale diensten van het accountantskantoor dat zorgt voor je cijfers, je bank enz. Weet je dan nog zeker dat je genoeg controle hebt over alleen maar de juiste kernel versies en er voldoende beheer is?

Tr1pke @kodak • 14 augustus 2020 13:25

Onze servers hebben een end of life date van maximum 6 jaar. Binnen de 6 jaar moeten al onze servers vervangen zijn wereldwijd (per land ongeveer een 40tal servers wereldwijd) en daarbij hoort een volledig nieuwe documentatie bij.

voor workstations en printers moet alles Binnen 4 jaar vervangen zijn

[Reactie gewijzigd door Tr1pke op 24 juli 2024 03:44]

kodak

Beveiliging en antivirus
Malware

@Tr1pke • 14 augustus 2020 13:55

Onze servers hebben een end of life date van maximum 6 jaar.

Dat eigen servers vervangen worden en dat er volledige documentatie hoort te zijn zegt helaas niet alles over de ouderdom van software/firmware of drivers of mogelijkheid om daar controle over te hebben. Maar laten we even van het goed uit gaan, dat lost voor al die andere opgenoemde zaken of voor andere organisatie het probleem nog niet op. Zeker niet als er langlopende contracten zijn en geld kennis en moeite nodig is om het te veranderen. Misschien kunnen jullie makkelijk zeggen wij vervangen de airconditioning van alle gebouwen omdat de leverancier geen patchbeleid heeft dat aan onze eisen voldoet, of we vervangen een energiecentrale voor enkele miljarden euros omdat de huidige van 20 jaar oud geen software upgrades meer krijgt, of we stellen zeer strikte eisen aan onze dienstverleners voor drm of accountancy, printers, deuren enz en anders nemen we het niet. Maar niet iedere organisatie lukt dat helaas. Bijvoorbeeld vanwege eerdere keuzes van jaren geleden toen het nog niet zo heel erg belangrijk leek of omdat er geen budget is om iets te eisen of vol te houden omdat het naar andere belangrijke zaken gaat.

Tr1pke @kodak • 14 augustus 2020 17:46

Dat is waar, wat bij ons ook een policy is dat als er geen patches meer zijn vliegt het naar de shredder. Of het perfect werkt of niet shredden die handel. Wij kunnen dat risico niet nemen, wij hebben een paar dozijnen inbreek attempts per dag.
Wel handig is dat er bij ons geen budget is. Een voordeel dat de overheid heeft. Plus de baas zit 6207km verder.

Core2016 @Wim-Bart • 14 augustus 2020 01:18

Gaat t er niet om wat er op draait? in de zin van: als t draait zonder dat t nodig is?

[Reactie gewijzigd door Core2016 op 24 juli 2024 03:44]

Ome Ernst @MtC • 13 augustus 2020 20:50

Die heb ik geloof ik thuis ook nog gedraaid. In 2006 of zo...

Olaf van der Spek @Ome Ernst • 13 augustus 2020 21:07

6.0 is uit 99 dus je was toen al aardig out-of-date.

Ome Ernst @Olaf van der Spek • 13 augustus 2020 23:14

Dan zal het rond 99 geweest zijn. Tis ook zo lang geleden.

Was met thuisgebruik altijd met de meest recente versie.

[Reactie gewijzigd door Ome Ernst op 24 juli 2024 03:44]

sfranken @MtC • 14 augustus 2020 00:53

Op wat voor hardware, als ik vragen mag? Dat vindt ik veel interessanter om te lezen eerlijk gezegd.

rbr320 @Ome Ernst • 14 augustus 2020 01:08

@MtC geeft een extreem voorbeeld, maar aangezien RHEL 6.10 nog officieel wordt ondersteund tot juni 2024 wordt dit op nog serieus veel plekken in productie gebruikt. Dat draait echter nog op kernel versie 2.6 en loopt dus serieus risico op deze malware.

janbaarda @rbr320 • 14 augustus 2020 03:19

Dit is een algemeen probleem voor programmatuur (overheden soms/vaak nog op Windows 7, enz.). Programmatuur is in principe wijzigbaar (in tegenstelling tot beton) en daardoor mogelijk te compromitteren. Zorgvuldig onderhoud is de basis voor veiligheid.

kodak

Beveiliging en antivirus
Malware

@Ome Ernst • 13 augustus 2020 21:02

Dat kan nog tegenvallen bij industrial control systems. Systemen die vaak niet ontworpen zijn om te kunnen upgraden en dus op 8 jaar of nog oudere software werken.

well0549 @kodak • 14 augustus 2020 07:21

Precies, ken nog een frees machine die nog op dos draait met Flippies...

Gaat nooit ge-update worden

HollowGamer @Ome Ernst • 13 augustus 2020 22:56

Je zult helaas versteld zijn hoeveel servers (virtueel en fysiek), met een oudere kernel draaien. Genoeg die zijn geïnstalleerd in 2012 en nog altijd draaien en/of nooit zijn geüpgraded. Dan heb je nog pakketten erbovenop, zoals sudo die ook wel eens lek was of andere library.

Het beveiligen van Linux wordt veelal onderschat en de gebruiker is veelal de zwakste schakel daarin, een foutje met chmod is ook zo gemaakt.

Wel jammer overigens dat ik inderdaad weer verder moet zoeken, want erg veel informatie geeft het artikel zelf niet..

tweaknico @Ome Ernst • 14 augustus 2020 10:52

Niet noodzakelijkerwijs....

Er zijn routers die nog op 2.6 draaien, of zelfs 2.4... want zeer klein.
Iets wat niet aan het internet hangt is niet gevoelig voor aanvallen over het internet..

rob12424 13 augustus 2020 21:00

Wat ik mij afvraag: Pakken chrootkit en rkhunter deze er niet uit?

En een os zoals Qubix is dat hier ook vatbaar voor?

jurroen @rob12424 • 13 augustus 2020 21:38

Je bedoelt gok ik Qubes. Het antwoord is deels. Het zou in theorie kunnen op de AppVMs die "online" zijn - hoewel het wat complexer is wegens zaken als NAT.

Je zou - door een geinfecteerde executable een AppVM kunnen "infecteren". Echter, zodra je die herstart wordt die opnieuw opgebouwd uit een TemplateVM.

En ja - het is ook mogelijk om een TemplateVM te infecteren, maar dat zal zeer waarschijnlijk door incompetent gebruik zijn. Cross-domain exploits zijn te "duur" voor generieke malware.

Matthijs8 @jurroen • 14 augustus 2020 10:42

Bij infectie van een AppVM is de kans inderdaad groot dat je m 'flushed' bij een herstart. Dit systeem is echter niet bedoeld als beveiliging, specifieke malware zou ook in de user folders van een appvm kunnen gaan zitten, dan helpt een herstart niet. Het hele idee van Qubes is echter compartmentalization. Als jij malware binnenkrijgt op jouw AppVM die je voor regulier browsen gebruikt, dan zijn jouw andere AppVM's, bijvoorbeeld voor internet bankieren of email, nog schoon, en aangezien die een specifieker gebruik hebben, is de kans een stuk kleiner dat die malware binnen krijgen. Op je bankieren AppVM bijvoorbeeld zal het enige zijn wat je waarschijnlijk doet de site van je bank bezoeken zijn. Voor zaken die je niet vertrouwd kan je ook een DisposableVM gebruiken, er is daarvoor bijvoorbeeld ook integratie met Thunderbird, zodat je als je wilt elke mail bijlage automatisch in een DisposableVM opent.
Een TemplateVM infecteren is inderdaad onwaarschijnlijk. TemplateVM's hebben geen directe internetverbinding, alleen een proxy voor updates. De bedoeling is dat je met een TemplateVM niet anders doet dan updates installeren en nieuwe software installeren, alle software draai je alleen in AppVM's. Als je bepaalde software wilt installeren en het minder vertrouwd, kan je ook daarvoor een specifieke TemplateVM aanmaken zodat het niet in de normale komt. Je kan het zelfs ook in een AppVM installeren, dan is het weg na een herstart.
Als een aanvaller vanuit een AppVM de rest van je systeem zou willen infecteren heeft hij zowel een Linux kernel exploit nodig als een Xen hypervisor exploit, en die 2e is een stuk minder gangbaar dan de 1e, dus een stuk duurder. Bovendien gebruikt Qubes een aangepaste versie van Xen, met minder attack surface. Ook wordt hoofdzakelijk PVH virtualisatie gebruikt, dat ook een stuk minder attack surface heeft dan normale PV virutalisatie.
Ook kan je met Qubes gemakkelijk je netwerk compartmentaliseren. Elke AppVM is verbonden met een NetVM, je kan dit zelf aanpassen zoals je wilt. Zo kan je bijvoorbeeld gelijktijdig een aantal AppVM's hebben draaien die op de standaard NetVM zijn aangesloten met normaal internet, en ondertussen ook een AppVM voor werk die bijvoorbeeld op een NetVM met VPN naar je werk is aangesloten, of een AppVM die op een NetVM met Tor is aangesloten.

HollowGamer @rob12424 • 13 augustus 2020 22:50

In het artikel staat dat de malware zich kan verbergen, dus opzicht kunnen die scanners deze weleens missen. Sowieso ben je met root toegang feitelijk al verloren, met of zonder die tools.

tweaknico @rob12424 • 14 augustus 2020 10:26

rkhunter is niet meer bijgehouden. De maintainer ervan is lynis begonnen.
Daarmee zijn ze niet waardeloos, maar zullen mogelijk enkele recente zaken niet mee kunnen nemen.

rkhunter gebruikt dat wat beschikbaar is..., probleem is het is nog altijd NA een infectie dat iets opgemerkt wordt.
Maar een kernel module die zichzelf enigszins uit zicht kan houden is echt een uitdaging en voorbij de mogelijkheden van rkhunter en/of chkrootkit.

Dat is rijkelijk laat. Je moet het voor zijn ==> geen unsigned drivers accepteren helpt.
Een inbreker moet dan veel meer werk doen om een driver geladen te krijgenn.

flossed 13 augustus 2020 21:52

Dus om besmet te raken moet je een kernel hebben ouder dan 3.7. En infected malware zelf installeren. En de workaround kernel updaten naar 3.7+. Of gewoon opletten wat je installeert.

tweaknico @flossed • 14 augustus 2020 10:29

Nee je moet een unsigned driver, of driver met onbekende signature kunnen laden.
Als je de meest recente kernel zelf compileert en niet ondertekend kan het ook met de laatste.

De malware kan ook via bv. een zwak bescherming van het root account of via slecht beveiligde toegang op je systeem terecht komen.

Vanaf Kernel v3.7 zijn er signed drivers mogelijk ==> vanaf 3.7 heb je het gereedschap om jezelf te beveiligen.

flossed @tweaknico • 14 augustus 2020 11:05

Ok, wat ik wil aangeven is dat deze is xploit middels toegang tot het systeem toepasbaar is, niet dat je bijvoorbeeld een bufferoverfliw op een linux service ce attack uitvoert. Dat limiteerd namelijk de impact. Het is niet slsof alle linux machine in ene direct gepatched moeten worden, wat met de openssl bugs voorheen bijvoorbaat wel moest gebeuren. Tuurlijk als je 123 als password heb dan heb je deze xploit niet eens nodig.

tweaknico @flossed • 14 augustus 2020 11:11

Als je via een buffer overflow in applicatie X root access op een systeem kan krijgen kun je door middel van deze "driver" Persistence creëren. zodat je later meer kan doen zonder dat het opvalt. Zelfs als Applicatie X gefixed wordt.

Als je signed drivers gebruikt dan heb je nog steeds dezelfde buffer overflow in applicatie X kan iemand nog steeds root worden, alleen geen nauwelijks detecteerbare Persistence creëren op deze makkelijke manier.

Het is bv. een stap op het pad van goede ransomware aanval eentje waarmee je eerste enkele maanden observeert, backups alvast versleuteld etc.

Verwijderd 13 augustus 2020 20:58

Zijn dit niet de NSA tools die Snowden en zijn maat hebben gelekt? De archief was jaar of 5-6 geleden vrij de downloaden.

jurroen @Verwijderd • 13 augustus 2020 21:43

Je haalt denk ik dingen door de war. De informatie die Snowden naar buiten heeft gebracht is via journalisten naar buiten gebracht, niet in een rauwe versie. En dat was overigens juni 2013.

Misschien bedoel je Shadowbrokers?

[Reactie gewijzigd door jurroen op 24 juli 2024 03:44]

Verwijderd @jurroen • 13 augustus 2020 22:35

Volgens mij werd door wikileaks naar buiten gebracht ergens in 2013-2014.

tweaknico @Verwijderd • 14 augustus 2020 10:31

Nope. Via journalisten van de Guardian. Dus als je de Guardian als "maat" ziet klopt je uitspraak.

Enchantress 13 augustus 2020 20:30

Publiceer zoveel mogelijk van dit soort ''nieuws'' en je kan zelf onder de rader glansrijk doorgaan.
Wat dat betreft zijn de Amerikanen niet gek.

Ayporos @Enchantress • 13 augustus 2020 20:46

Tja ik heb er geen twijfel aan dat in Rusland precies hetzelfde gebeurd.. net zoals in China uiteraard.
Echter dáár horen wij 'westerlingen' natuurlijk weinig van.

Het is een lastige wereld waar we in leven, want communicatie is tevens onze kracht (als mens zijnde) maar tegelijkertijd ook het krachtigste wapen voor een overheid om de gedachten van het volk te sturen.

tweaknico @Ayporos • 14 augustus 2020 10:30

Vlak Nederland niet uit... en er zijn meer landen met een ICT inbraak mogelijkheden.

Muna34 13 augustus 2020 20:57

Hmm.. Dit is juist een van de artikelen die mij redelijk de aandacht trekt. Jammer dat er geen deep dive op gedaan wordt. Heel veel engelse termen, weinig eigen inbreng. Dit is juist waarvoor ik naar tweakers kom. Of ik het nu eens ben met de reviews van Paul of niet, eigen inbreng, ik respecteer de mening. TV reviews van Sim of de telefoon reviews van Arnoud is waar ik echt van kan genieten. (en stiekem van Paul

)

Ik kom naar tweakers voor de deep dive. Bovengenoemde mensen leveren keer op keer top materiaal. Jammer dat die 'plek' voor linux keer op keer onvervuld blijft. Oprecht vind ik dit een van de "missing puzzle pieces" om in de engelse termen te blijven. Het lijkt een 'regurgitation' van een ander artikel helaas.

Het spijt mij om zo negatief te zijn. Echter, tweakers vraagt hier mijn inziens wel een beetje om. Ik heb meerdere surveys voorbij zien komen waar ik uiteraard deel aan heb genomen waar specifiek de vraag om meer linux nieuws voorbij kwam. Tja. Dit is nieuws. Maar dit is niet waarom ik naar tweakers kom.

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Dirk op 24 juli 2024 03:44]

Verwijderd @Muna34 • 13 augustus 2020 21:55

Je kunt natuurlijk ook de originele publicatie lezen. Het voegt weinig toe om die te vertalen en dan hier over te nemen.

Glennfalconi 14 augustus 2020 09:39

Zij wijzen wel leuk naar een ander maar zijn zelf geen haar beter.

Dat heeft onze grote vriend Edward Snowden immers bewezen.

[Reactie gewijzigd door Glennfalconi op 24 juli 2024 03:44]

tweaknico @Glennfalconi • 14 augustus 2020 10:33

Meer dan de NSA, het ging om de 7 ogen. (Ook GB, AU, NZ...)

Dark Angel 58 14 augustus 2020 14:10

Russia Today wordt door critici gezien als een propagandakanaal van de Russische overheid.

Ik heb hele artikel gelezen... en moest erom lachen omdat Tweakers onbewust aan propaganda heeft meegewerkt door het publiceren van dit artikel.
Het kan zijn dat die artikel gewoon een amerikaanse nepnieuws is, want de amerikanen hebben een beleid gemaakt dat ze Rusland moeten demoniseren.

Verwijderd @wifikabelhuren • 14 augustus 2020 06:44

What's your point?

Op dit item kan niet meer gereageerd worden.

NSA en FBI publiceren details over Linux-malware 'van Russische staatshackers'

Lees meer

Reacties (61)

Sorteer op:

Weergave: