Sicherheitsforscher des Antivirus- und Security-Unternehmens Eset geben an, eine neue Familie von Schadsoftware für Linux entdeckt zu haben. Sie ermöglicht Remote-Zugriff, sammelt Zugangsdaten und richtet auf befallenen Systemen Proxies für weitere Angriffe ein.
In einem technischen Whitepaper stellt die Firma die gefundenen Erkenntnisse vor. Demnach befindet sich die Schadsoftware unter permanenter Weiterentwicklung. Die Standorte der gefundenen C&C-Server deuten auf ein bevorzugtes Operationsgebiet in Südostasien hin. Auch sei die C&C-Struktur sehr dezentral organisiert, fast alle Fundstücke benutzen unterschiedliche Server, von denen die meisten derzeit inaktiv seien.
Als zentrales Element identifizierten die Sicherheitsforscher eine virtuelle Datei, die von einem Rootkit eingerichtet wird. Trojanisierte Standard-Linux-Tools schreiben unter anderem Zugangsdaten dorthin. So wurden etwa eine modifizierte auth_password-Funktion im sshd entdeckt, die Zugangsdaten protokolliert. Drei verschiedene Backdoors sorgen dafür, dass die Angreifer Zugang zu den infizierten Systemen behalten und das Rootkit verschleiert ihre Anwesenheit und Aktivitäten.
Eset geht davon aus, dass FontOnLake aufgrund seiner elaborierten Architektur und der Tatsache, dass es offensichtlich permanent weiterentwickelt wird, für künftige Angriffe vorgehalten werden könnte. Sein tatsächlicher konkreter Zweck sei aber nicht bekannt, eben sowenig wie die Infektionspfade.
Quelle: heise
In einem technischen Whitepaper stellt die Firma die gefundenen Erkenntnisse vor. Demnach befindet sich die Schadsoftware unter permanenter Weiterentwicklung. Die Standorte der gefundenen C&C-Server deuten auf ein bevorzugtes Operationsgebiet in Südostasien hin. Auch sei die C&C-Struktur sehr dezentral organisiert, fast alle Fundstücke benutzen unterschiedliche Server, von denen die meisten derzeit inaktiv seien.
Als zentrales Element identifizierten die Sicherheitsforscher eine virtuelle Datei, die von einem Rootkit eingerichtet wird. Trojanisierte Standard-Linux-Tools schreiben unter anderem Zugangsdaten dorthin. So wurden etwa eine modifizierte auth_password-Funktion im sshd entdeckt, die Zugangsdaten protokolliert. Drei verschiedene Backdoors sorgen dafür, dass die Angreifer Zugang zu den infizierten Systemen behalten und das Rootkit verschleiert ihre Anwesenheit und Aktivitäten.
Teile bereits ab Mai 2020 bekannt
Signaturen von Teilen der Schadsoftware tauchten bereits ab Mai 2020 auf VirusTotal auf. Einige der analysierten Malware-Samples wurden speziell für CentOS und Debian erstellt. Das zu FontOnLake gehörende Rootkit basiert auf dem öffentlich verfügbaren Kernel Mode Rootkit-Baukasten Suterusu und wurde bereits vor Eset von Avast, Lacework (dort unter dem Namen HCRootkit) und anderen Security-Firmen beschrieben.Eset geht davon aus, dass FontOnLake aufgrund seiner elaborierten Architektur und der Tatsache, dass es offensichtlich permanent weiterentwickelt wird, für künftige Angriffe vorgehalten werden könnte. Sein tatsächlicher konkreter Zweck sei aber nicht bekannt, eben sowenig wie die Infektionspfade.
Quelle: heise