Laut des Antivirus- und Security-Unternehmens Eset wurde von seinen Sicherheitsforschern eine neue Familie von Schadsoftware für Linux entdeckt. Sie soll Remote-Zugriff ermöglichen, Zugangsdaten sammeln und auf befallenen Systemen Proxies für weitere Angriffe einrichten.

Die Firma stellt in einem technischen Whitepaper die gefundenen Erkenntnisse vor. Die Schadsoftware befindet sich demnach unter permanenter Weiterentwicklung. Auf ein bevorzugtes Operationsgebiet in Südostasien deuten die Standorte der gefundenen C&C-Server hin.

Die Sicherheitsforscher identifizieren als zentrales Element eine virtuelle Datei, die von einem Rootkit eingerichtet wird. Unter anderem Zugangsdaten werden von den trojanisierten Standard-Linux-Tools dorthin geschrieben. Im sshd wurde beispielsweise eine modifizierte auth_password-Funktion entdeckt, die Zugangsdaten protokolliert. Aufgrund drei verschiedener Backdoors behalten die Angreifer Zugang zu den infizierten Systemen und das Rootkit verschleiert ihre Anwesenheit und Aktivitäten. Bereits ab Mai 2020 tauchten Signaturen von Teilen der Schadsoftware auf VirusTotal auf.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE