Ein Spionageprogramm wurde durch die Sicherheitsfirma Intezer entdeckt, das sie auf den Namen EvilGnome getauft hat, weil es sich als Gnome-Erweiterung in den Linux-Desktop einklinkt. Von einem Kontrollserver nimmt EvilGnome Befehle entgegen und verfügt über die typischen Funktionen eines Spionage-Tools: Dadurch kann EvilGnome heimlich Screenshots anfertigen, Dateien stehlen und das Mikrofon des PCs als Wanze nutzen.

Noch nicht fertig ist der eingebaute Keylogger; die Malware befindet sich also eventuell noch im Entwicklungsstadium. Sie installiert sich selbst als gnome-shell-ext in das Verzeichnis ~/.cache/gnome-software/gnome-shell-extensions/

Intezer ordnet auf Grund des genutzten Command-&Controll-Servers und diverser Parallelen zu bekannter Malware den Linux-Spion der APT-Gruppe Gamaredon zu, die unter anderem durch gezielte Angriffe in der Ukraine auffällig wurde. Linux wird auch von anderen Spionage-Gruppen ins Visier genommen: Ebenfalls entdeckten Forscher der Ruhr-Uni Bochum, die viele Exemplare der für Angriffe auf deutsche DAX-Konzerne eingesetzte Schadsoftware Winnti analysierte, dabei ein Linux-Pendant. "Wir haben diese Version ebenfalls untersucht. Sie arbeitet im wesentlichen genauso wie Winnti" erklärt Prof. Dr. Thorsten Holz von der RUB.

Cyberkriminelle konzentrieren sich typischerweise auf die Windows-Plattform, weil diese fast überall vorzufinden ist. Mit seinem niedrigen einstelligen Marktanteil im Desktop-Bereich blieb Linux da lange Zeit weitgehend unbeachtet. Nicht bekannt ist, wie die Schadprogramme jeweils auf den Rechner kommen. Die Möglichkeit besteht, dass dies etwa im Rahmen von Spear-Phishing mit ausgefeiltem Social Engineering erfolgt. Linux-Nutzer sind dagegen auch nicht immun.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE