Es wurden 21 Malware-Familien, die es auf Linux-Server abgesehen haben, von Sicherheitsforscher von Eset gefunden. Davon sollen Zwölf gänzlich neu sein. Angreifer haben Fernzugriff auf kompromittierte Computer, da der Code via OpenSSH eine Backdoor in Systemen hinterlegen lassen soll. Derzeit ist nicht bekannt, wie viele Server betroffen sind.

Das Windigo-Botnet aus dem Jahr 2014, bei dem die OpenSSH-Hintertür Ebury Linux-Server infizierte, war Ausgangspunkt der Untersuchungen. Eset zufolge waren davon zuletzt 25.000 Server betroffen. Nun sind die Sicherheitsforscher auf weitere Ebury-Abkömmlinge gestoßen.

Eset berichtet in einem ausführlichen Report, dass einige der OpenSSH-Hintertüren äußerst komplex sein sollen und somit von erfahrenen Malware-Autoren stammen. In dem Report werden detaillierte Informationen zu den einzelnen Hintertüren aufgelistet.

Professionelle APT-Gruppen sollen unter anderem derartige Backdoors einsetzen, um darüber beispielsweise an Log-in-Daten und Schlüssel zu kommen.

Aus dem Report geht nicht detailliert hervor, wie die Malware Systeme infiziert. Es ist davon auszugehen, dass die unbekannten Angreifer mit Wörterbuch-Attacken versuchen, via OpenSSH Zugriff auf Linux-Server zu bekommen. Sie sollen anschließend OpenSSH-Software manipulieren und daraus eine Hintertür bauen. Auch Sicherheitslücken in anderer Software könnten alternativ als Einfallstor dienen.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE