WolfsBane: Backdoor bedroht Linux-Server
Sicherheitsforscher von ESET haben neue Linux-Schadsoftware entdeckt, die der chinesischen Hackergruppe Gelsemium zugeschrieben wird. Die als "WolfsBane" bezeichnete Backdoor stellt die Linux-Version der bereits bekannten Windows-Schadsoftware "Gelsevirine" dar. Zudem wurde eine weitere Hintertür namens "FireWood" identifiziert.
Die Hauptfunktion der entdeckten Schadsoftware zielt laut ESET auf Cyberspionage ab. Die Programme seien darauf ausgerichtet, sensible Daten wie Systeminformationen und Benutzerzugangsdaten zu sammeln sowie dauerhaften Zugriff auf infizierte Systeme zu ermöglichen. Die Schadsoftware wurde in Archiven gefunden, die aus Taiwan, den Philippinen und Singapur auf die Analyseplattform VirusTotal hochgeladen wurden.
WolfsBane nutzt eine mehrstufige Angriffsstruktur, bestehend aus einem Dropper, einem Launcher und der eigentlichen Backdoor. Zur Tarnung werden legitim erscheinende Dateinamen verwendet, etwa "cron" für den Dropper oder "kde" für den Launcher. Die Software installiert sich in versteckten Verzeichnissen und richtet verschiedene Mechanismen zur dauerhaften Verankerung im System ein, abhängig davon, ob sie mit Administrator- oder Benutzerrechten ausgeführt wird.
Ausgefeilte Hintertür
Die technische Analyse von WolfsBane zeigt laut den Cybersecurity-Forschern ausgefeilte Tarnungsmechanismen: Die Backdoor lädt eine eingebettete Bibliothek namens "libMainPlugin.so", die mit dem RC4-Algorithmus verschlüsselt ist und deren Schlüssel in der Konfiguration hinterlegt wird. Für die Kommunikation mit den Command-and-Control-Servern nutzt die Malware separate Bibliotheken (libUdp.so und libHttps.so) für verschiedene Netzwerkprotokolle.
Zusätzlich setzt die Schadsoftware einen modifizierten Open-Source-Rootkit namens BEURK ein, der grundlegende Systemfunktionen wie "open", "stat" und "readdir" manipuliert, um die Aktivitäten der Malware vor Erkennungsmechanismen zu verbergen. Diese technischen Merkmale weisen laut ESET starke Ähnlichkeiten mit der Windows-Version Gelsevirine auf, was die Verbindung zur Gelsemium-Gruppe untermauere.
Linux im Fokus
Die Entdeckung markiert eine bedeutende Entwicklung in den Aktivitäten der Gelsemium-Gruppe, da es sich um den ersten öffentlich dokumentierten Fall handeln soll, in dem die Gruppe Linux-Malware einsetzt. Die Forscher sehen darin Teil eines breiteren Trends: Angesichts verbesserter Sicherheitsmaßnahmen in Windows-Systemen, wie etwa der standardmäßigen Deaktivierung von VBA-Makros durch Microsoft, verlagern Angreifer ihre Aktivitäten zunehmend auf Linux-Systeme.
Die zunehmende Fokussierung auf Linux-basierte Systeme wird nach Einschätzung der ESET-Forscher vor allem durch die wachsende Verbreitung von Endpoint Detection and Response (EDR) Tools im Windows-Bereich getrieben. Besonders internetexponierte Systeme, die häufig auf Linux basieren, rücken dabei in den Fokus der Angreifer. Dies stelle eine bedeutende Verschiebung in der Bedrohungslandschaft dar, auf die sich Unternehmen und Organisationen einstellen müssten.
Eine ausführliche technische Analyse der Backdoor sowie Indicators of Compromise finden sich im ESET-Blog.