Linux-Botnet schürft Kryptowährungen

Linux-Nutzer müssen sich vor einem neuen Peer-to-Peer (P2P)-Botnet in Acht nehmen, das sich mit gestohlenen SSH-Schlüsseln zwischen Netzwerken verbreitet und seine Krypto-Mining-Malware im Speicher eines Geräts ausführt.

Das P2P-Botnet Panchan wurde im März von Akamai-Forschern entdeckt. Das Unternehmen warnt nun davor, dass es sich die Zusammenarbeit zwischen akademischen Einrichtungen zunutze machen könnte, um sich zu verbreiten, indem es zuvor gestohlene SSH-Authentifizierungsschlüssel über Netzwerke weitergibt.

Doch anstatt geistiges Eigentum dieser Bildungseinrichtungen zu stehlen, nutzt das Panchan-Botnet laut Akamai deren Linux-Server zum Schürfen von Kryptowährungen.

Die Nutzung fremder Hardware zum Schürfen von Kryptowährungen ist aufgrund des derzeitigen Krypto-Crashs vielleicht nicht mehr so lukrativ wie früher, aber Panchans Mining-Rig kostet die Störenfriede, die sie nutzen, nichts.

Panchan ist ein Kryptojacker, der in der Programmiersprache Go geschrieben wurde. Kryptojacker missbrauchen die Rechenleistung anderer, um Kryptowährungen zu schürfen.

Das P2P-Protokoll von Panchan kommuniziert im Klartext über TCP, kann aber laut Akamai der Überwachung entgehen. Die Malware verfügt über ein „Godmode“-Admin-Panel, das mit einem privaten Schlüssel geschützt ist, um Mining-Konfigurationen aus der Ferne zu steuern und zu verteilen.

„Das Admin-Panel ist in japanischer Sprache verfasst, was auf den geografischen Standort des Urhebers schließen lässt“, so Steve Kupchik von Akamai. Panchan ist aber auch bereits in zweistelligen Zahlen in Deutschland festgestellt worden.

„Das Botnet bietet einen einzigartigen (und möglicherweise neuartigen) Ansatz für laterale Bewegungen durch das Abgreifen von SSH-Schlüsseln. Anstatt wie die meisten Botnets nur Brute-Force- oder Wörterbuchangriffe auf zufällig ausgewählte IP-Adressen durchzuführen, liest die Malware auch die id_rsa- und known_hosts-Dateien, um vorhandene Anmeldeinformationen abzugreifen und sie zu nutzen, um sich seitlich im Netzwerk zu bewegen.“

Die Autoren von Panchan sind offenbar Fans der Programmiersprache Go, die 2007 von Google-Ingenieuren entwickelt wurde. Wer auch immer Panchan geschrieben hat, kompilierte die Malware mit der Go-Version 1.18, die Google im März veröffentlicht hat.

Was das P2P-Netzwerk betrifft, so hat Akamai 209 Peers gefunden, von denen jedoch nur 40 derzeit aktiv sind und die meisten in Asien angesiedelt sind.

Und warum ist der Bildungssektor stärker von Panchan betroffen? Akamai vermutet, dass dies an mangelnder Passworthygiene liegen könnte oder daran, dass sich die Malware mit gestohlenen SSH-Schlüsseln durch das Netzwerk bewegt.

„Forscher in verschiedenen akademischen Einrichtungen arbeiten möglicherweise häufiger zusammen als Mitarbeiter in der Wirtschaft und benötigen Anmeldedaten, um sich bei Rechnern außerhalb ihrer Organisation/ihres Netzwerks zu authentifizieren. Diese Hypothese wird dadurch gestärkt, dass einige der beteiligten Universitäten aus demselben Land (z. B. Spanien) und andere aus derselben Region (z. B. Taiwan und Hongkong) stammten“, so Kupchik.

Die Wurmfunktionen der Malware beruhen auf SSH, das durch die Suche nach vorhandenen SSH-Schlüsseln oder durch das Ausprobieren von leicht zu erratenden oder voreingestellten Anmeldedaten erworben wird.

Jakob Jung

Recent Posts

Bitdefender: Schwachstelle in Device42

Wegen einer mittlerweile behobenen Schwachstelle in Device42 gibt Bitdefender eine Empfehlung zum Update auf die…

15 Minuten ago

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago