Sicherheitsforscher von Eset sind auf 21 Malware-Familien gestoßen, die es auf Linux-Server abgesehen haben. Zwölf davon sollen gänzlich neu sein. Der Code soll via OpenSSH eine Backdoor in Systemen hinterlegen, sodass Angreifer Fernzugriff auf kompromittierte Computer haben. Wie viele Server betroffen sind, ist derzeit nicht bekannt.

Ausgangspunkt der Untersuchungen war das Windigo-Botnet aus dem Jahr 2014, bei dem die OpenSSH-Hintertür Ebury Linux-Server infizierte. Davon waren Eset zufolge zuletzt 25.000 Server betroffen. Nun sind die Sicherheitsforscher auf weitere Ebury-Abkömmlinge gestoßen.

Aufwendige Malware



Einige der OpenSSH-Hintertüren sollen äußerst komplex sein und somit von erfahrenen Malware-Autoren stammen, berichtet Eset in einem ausführlichen Report. Darin findet man detaillierte Informationen zu den einzelnen Hintertüren, die die Sicherheitsforscher nach Planeten und Rassen aus dem Star-Wars-Universum benannt haben.

Unter anderem sollen professionelle APT-Gruppen derartige Backdoors einsetzen, um darüber beispielsweise an Log-in-Daten und Schlüssel zu kommen.

Wie die Malware Systeme infiziert, geht aus dem Report nicht detailliert hervor. Es ist davon auszugehen, dass die unbekannten Angreifer mit Wörterbuch-Attacken versuchen, via OpenSSH Zugriff auf Linux-Server zu bekommen. Anschließend sollen sie OpenSSH-Software manipulieren und daraus eine Hintertür bauen. Alternativ könnten auch Sicherheitslücken in anderer Software als Einfallstor dienen.

Server prüfen

Im Report von Eset finden Admins auf Seite 22 Hinweise, wie sie prüfen können, ob Server kompromittiert sind. Das funktioniert, indem man die Integrität von installierten OpenSSH-Komponenten checkt. (des)