Linux-Backdoors von China-naher Hackergruppe entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

ESET Forscher haben zwei neue Linux-Backdoors entdeckt, die wahrscheinlich von der China-nahen Hackergruppe Gelsemium stammen. Die Entdeckung erfolgte nach der Analyse von Archiven, die im Jahr 2023 auf Googles Online-Dienst Virus Total hochgeladen wurden.

Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet. Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienen der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammeln. Während Wolfsbane sich zweifellos Gelsemium zuordnen lässt, kann ESET FireWood allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig sind.

Anzeige

Linux immer stärker im Visier

„Professionelle Hacker fokussieren sich stärker auf Linux-Systeme – das ist eine besorgniserregende Entwicklung“, erklärt der ESET Forscher Viktor Šperka, der die Analysen durchgeführt hat. „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für Windows-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyberkriminelle neue Angriffsmöglichkeiten abwägen. Linux rückt dabei immer stärker in den Fokus.“

Die Analysen enthüllten die ausgefeilte Technik der beiden Backdoors. WolfsBane ist eine Linux-Version der bekannten Windows-Schadsoftware „Gelsevirine“ und nutzt Rootkits, um ihre Aktivitäten zu verschleiern. Ein Rootkit ist eine Schadsoftware, die es Cyberkriminellen ermöglicht, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.

Linux im Fadenkreuz von Cyberangriffen

FireWood hingegen zeigt Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, die ebenfalls von Gelsemium genutzt wurde. Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen. Beide Backdoors wurden so konzipiert, dass sie unbemerkt bleiben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichen.

ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf Virus Total hochgeladen wurden. Dies deutet darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt wurde. Die betroffenen Systeme waren vorwiegend Linux-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten. Die Archive enthalten auch mehrere Werkzeuge, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichen.

Unternehmen müssen Sicherheitsstrategien überdenken

Die Entdeckung der neuen Werkzeuge zeigt, wie wichtig ein umfassender Schutz für Linux-Systeme geworden ist. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen. Eine ausführliche technische Analyse findet sich in einem Blogpost.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Vorhersagen zu Cybersicherheitsbedrohungen aus dem Darknet

Von hochentwickelten Desinformationsdiensten bis hin zu gestohlenen digitalen Identitäten, Schwachstellen im Smarthome-Bereich sowie KI-gesteuertes Social Engineering – das sind die ➡ Weiterlesen

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen