Categories: SicherheitVirus

Linux-Variante der chinesischen Backdoor Winnti entdeckt

Sicherheitsforscher haben erstmals eine Variante der bei chinesischen Hackern beliebten Malware Winnti analysiert, die unter Linux funktioniert. Entdeckt wurde sie von Mitarbeitern von Chronicle, einer Cyber-Security-Tochter von Alphabet. Die Linux-Version richtet auf infizierten Hosts eine Hintertür ein und erlaubt es den Angreifern, die kompromittierten Systeme aus der Ferne zu steuern.

Chronicle fand die Linux-Variante, nachdem im April der Leverkusener Chemiekonzern Bayer einen Angriff durch chinesische Hacker eingeräumt hatte, bei dem auch Winnti zum Einsatz kam. Bei darauffolgenden Scans für Winnti mit der hauseigenen VirusTotal-Plattform erschien die Linux-Variante der Malware. Offenbar wurde sie bereits 2015 bei einer Attacke auf einen vietnamesischen Spieleentwickler verwendet.

Bei ihrer Analyse stellten die Chronicle-Forscher fest, dass sie aus zwei Komponenten besteht. Ein Rootkit soll dabei sicherstellen, dass die Malware auf einem infizierten System nicht erkannt wird. Die zweite Komponente ist der eigentliche Backdoor-Trojaner. Die Analyse zeigte zudem Ähnlichkeiten mit der Version 2.0 von Winnti für Windows, wie sie zuvor von Kaspersky Lab und Novetta beschrieben wurde.

Auch die Art, wie die Linux-Variante mit ausgehender Kommunikation mit dem Befehlsserver umgeht, legt demnach eine Verbindung zur Windows-Version nahe. Dabei soll eine charakteristische Mischung verschiedener Protokolle zum Einsatz kommen, darunter ICMP, HTTP und angepasste Versionen von TCP und UDP.

Darüber hinaus soll die Linux-Variante über eine sehr spezielle Funktion verfügen, die auch die Windows-Version auszeichnet. Die mutmaßlich chinesischen Hintermänner können nämlich auch direkt mit einem infizierten Host kommunizieren – also ohne Umweg über einen Befehlsserver.

Linux-Schadsoftware wird allerdings nur sehr selten von staatlich gestützten Hackern eingesetzt, vor allem, wenn man sie mit den Windows-Versionen vergleicht. „Linux-spezifische Tools von chinesischen APTs sind selten, aber nicht unbekannt“, sagte Silas Cutler, Reverse Engineering Lead bei Chronicle. „In der Vergangenheit hatten Tools wie HKdoor, Htran und Derusbi bereits Linux-Varianten.“ Linux-Malware sei wahrscheinlich auch deswegen gering verbreitet, weil Linux den Akteuren genügend Möglichkeiten biete, was eine individuelle Anpassung von Werkzeugen unnötig mache.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago