Sicherheitsforscher haben erstmals eine Variante der bei chinesischen Hackern beliebten Malware Winnti analysiert, die unter Linux funktioniert. Entdeckt wurde sie von Mitarbeitern von Chronicle, einer Cyber-Security-Tochter von Alphabet. Die Linux-Version richtet auf infizierten Hosts eine Hintertür ein und erlaubt es den Angreifern, die kompromittierten Systeme aus der Ferne zu steuern.
Bei ihrer Analyse stellten die Chronicle-Forscher fest, dass sie aus zwei Komponenten besteht. Ein Rootkit soll dabei sicherstellen, dass die Malware auf einem infizierten System nicht erkannt wird. Die zweite Komponente ist der eigentliche Backdoor-Trojaner. Die Analyse zeigte zudem Ähnlichkeiten mit der Version 2.0 von Winnti für Windows, wie sie zuvor von Kaspersky Lab und Novetta beschrieben wurde.
Auch die Art, wie die Linux-Variante mit ausgehender Kommunikation mit dem Befehlsserver umgeht, legt demnach eine Verbindung zur Windows-Version nahe. Dabei soll eine charakteristische Mischung verschiedener Protokolle zum Einsatz kommen, darunter ICMP, HTTP und angepasste Versionen von TCP und UDP.
Darüber hinaus soll die Linux-Variante über eine sehr spezielle Funktion verfügen, die auch die Windows-Version auszeichnet. Die mutmaßlich chinesischen Hintermänner können nämlich auch direkt mit einem infizierten Host kommunizieren – also ohne Umweg über einen Befehlsserver.
Linux-Schadsoftware wird allerdings nur sehr selten von staatlich gestützten Hackern eingesetzt, vor allem, wenn man sie mit den Windows-Versionen vergleicht. „Linux-spezifische Tools von chinesischen APTs sind selten, aber nicht unbekannt“, sagte Silas Cutler, Reverse Engineering Lead bei Chronicle. „In der Vergangenheit hatten Tools wie HKdoor, Htran und Derusbi bereits Linux-Varianten.“ Linux-Malware sei wahrscheinlich auch deswegen gering verbreitet, weil Linux den Akteuren genügend Möglichkeiten biete, was eine individuelle Anpassung von Werkzeugen unnötig mache.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.