ESET Forscher haben zwei neue Linux-Backdoors entdeckt, die wahrscheinlich von der China-nahen Hackergruppe Gelsemium stammen. Die Entdeckung erfolgte nach der Analyse von Archiven, die im Jahr 2023 auf Googles Online-Dienst Virus Total hochgeladen wurden. Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet. Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienen der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammeln.
Während Wolfsbane sich zweifellos Gelsemium zuordnen lässt, kann ESET FireWood allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig sind.
„Professionelle Hacker fokussieren sich stärker auf Linux-Systeme – das ist eine besorgniserregende Entwicklung“, erklärt der ESET Forscher Viktor Šperka, der die Analysen durchgeführt hat. „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für Windows-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyberkriminelle neue Angriffsmöglichkeiten abwägen. Linux rückt dabei immer stärker in den Fokus.“
Linux im Fadenkreuz von Cyberangriffen
Die Analysen enthüllten die ausgefeilte Technik der beiden Backdoors. WolfsBane ist eine Linux-Version der bekannten Windows-Schadsoftware „Gelsevirine“ und nutzt Rootkits, um ihre Aktivitäten zu verschleiern. Ein Rootkit ist eine Schadsoftware, die es Cyberkriminellen ermöglicht, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.
FireWood hingegen zeigt Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, die ebenfalls von Gelsemium genutzt wurde. Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen. Beide Backdoors wurden so konzipiert, dass sie unbemerkt bleiben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichen.
ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf Virus Total hochgeladen wurden. Dies deutet darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt wurde. Die betroffenen Systeme waren vorwiegend Linux-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten. Die Archive enthalten auch mehrere Werkzeuge, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichen.
Unternehmen müssen Sicherheitsstrategien überdenken
Die Entdeckung der neuen Werkzeuge zeigt, wie wichtig ein umfassender Schutz für Linux-Systeme geworden ist. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen.
Ausführungsprozess von WolfsBane
Eine ausführliche technische Analyse finden Sie im Forschungs-Blogpost "Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine" auf WeLiveSecurity.com.