Linux-Variante der chinesischen Backdoor Winnti entdeckt

  • Allgemein

  • mad.de
  • 1857 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Linux-Variante der chinesischen Backdoor Winnti entdeckt

    Sie ist offenbar bereits seit 2015 im Umlauf. Die Linux-Variante funktioniert als Rootkit und als Hintertür für infizierte Hosts. Sicherheitsforscher finden zudem viele Ähnlichkeiten zur Windows-Version von Winnti.

    Sicherheitsforscher haben erstmals eine Variante der bei chinesischen Hackern beliebten Malware Winnti analysiert, die unter Linux funktioniert. Entdeckt wurde sie von Mitarbeitern von Chronicle, einer Cyber-Security-Tochter von Alphabet. Die Linux-Version richtet auf infizierten Hosts eine Hintertür ein und erlaubt es den Angreifern, die kompromittierten Systeme aus der Ferne zu steuern.

    Chronicle fand die Linux-Variante, nachdem im April der Leverkusener Chemiekonzern Bayer einen Angriff durch chinesische Hacker eingeräumt hatte, bei dem auch Winnti zum Einsatz kam. Bei darauffolgenden Scans für Winnti mit der hauseigenen VirusTotal-Plattform erschien die Linux-Variante der Malware. Offenbar wurde sie bereits 2015 bei einer Attacke auf einen vietnamesischen Spieleentwickler verwendet.

    Bei ihrer Analyse stellten die Chronicle-Forscher fest, dass sie aus zwei Komponenten besteht. Ein Rootkit soll dabei sicherstellen, dass die Malware auf einem infizierten System nicht erkannt wird. Die zweite Komponente ist der eigentliche Backdoor-Trojaner. Die Analyse zeigte zudem Ähnlichkeiten mit der Version 2.0 von Winnti für Windows, wie sie zuvor von Kaspersky Lab und Novetta beschrieben wurde.
    Auch die Art, wie die Linux-Variante mit ausgehender Kommunikation mit dem Befehlsserver umgeht, legt demnach eine Verbindung zur Windows-Version nahe. Dabei soll eine charakteristische Mischung verschiedener Protokolle zum Einsatz kommen, darunter ICMP, HTTP und angepasste Versionen von TCP und UDP.

    Darüber hinaus soll die Linux-Variante über eine sehr spezielle Funktion verfügen, die auch die Windows-Version auszeichnet. Die mutmaßlich chinesischen Hintermänner können nämlich auch direkt mit einem infizierten Host kommunizieren – also ohne Umweg über einen Befehlsserver.

    Linux-Schadsoftware wird allerdings nur sehr selten von staatlich gestützten Hackern eingesetzt, vor allem, wenn man sie mit den Windows-Versionen vergleicht. „Linux-spezifische Tools von chinesischen APTs sind selten, aber nicht unbekannt“, sagte Silas Cutler, Reverse Engineering Lead bei Chronicle. „In der Vergangenheit hatten Tools wie HKdoor, Htran und Derusbi bereits Linux-Varianten.“ Linux-Malware sei wahrscheinlich auch deswegen gering verbreitet, weil Linux den Akteuren genügend Möglichkeiten biete, was eine individuelle Anpassung von Werkzeugen unnötigen mache.

    Quelle: Linux-Variante der chinesischen Backdoor Winnti entdeckt | ZDNet.de
  • Da frage ich mich als technischer Laie, ob es eine gute Idee ist den Linuxkernel so anzupassen, das Linux direkt aus Windows heraus installiert werden kann, ohne den Umweg über einen spezifischen Bootloader zu gehen. Es hört sich so an, als würde diese Entwicklung den Hackern in die Hände spielen.
    Obwohl solche Schwachstellen möglicherweise rascher von Microsoft behoben werden, als von der Community der Nutzer selbst. Wie schon angedeutet- dazu bin ich zu sehr Laie um das realistisch einschätzen zu können.