Linux-Variante der chinesischen Backdoor Winnti entdeckt

Sicherheitsforscher haben erstmals eine Variante der bei chinesischen Hackern beliebten Malware Winnti analysiert, die unter Linux funktioniert. Entdeckt wurde sie von Mitarbeitern von Chronicle, einer Cyber-Security-Tochter von Alphabet. Die Linux-Version richtet auf infizierten Hosts eine Hintertür ein und erlaubt es den Angreifern, die kompromittierten Systeme aus der Ferne zu steuern.

Chronicle fand die Linux-Variante, nachdem im April der Leverkusener Chemiekonzern Bayer einen Angriff durch chinesische Hacker eingeräumt hatte, bei dem auch Winnti zum Einsatz kam. Bei darauffolgenden Scans für Winnti mit der hauseigenen VirusTotal-Plattform erschien die Linux-Variante der Malware. Offenbar wurde sie bereits 2015 bei einer Attacke auf einen vietnamesischen Spieleentwickler verwendet.

Bei ihrer Analyse stellten die Chronicle-Forscher fest, dass sie aus zwei Komponenten besteht. Ein Rootkit soll dabei sicherstellen, dass die Malware auf einem infizierten System nicht erkannt wird. Die zweite Komponente ist der eigentliche Backdoor-Trojaner. Die Analyse zeigte zudem Ähnlichkeiten mit der Version 2.0 von Winnti für Windows, wie sie zuvor von Kaspersky Lab und Novetta beschrieben wurde.

Auch die Art, wie die Linux-Variante mit ausgehender Kommunikation mit dem Befehlsserver umgeht, legt demnach eine Verbindung zur Windows-Version nahe. Dabei soll eine charakteristische Mischung verschiedener Protokolle zum Einsatz kommen, darunter ICMP, HTTP und angepasste Versionen von TCP und UDP.

Darüber hinaus soll die Linux-Variante über eine sehr spezielle Funktion verfügen, die auch die Windows-Version auszeichnet. Die mutmaßlich chinesischen Hintermänner können nämlich auch direkt mit einem infizierten Host kommunizieren – also ohne Umweg über einen Befehlsserver.

Linux-Schadsoftware wird allerdings nur sehr selten von staatlich gestützten Hackern eingesetzt, vor allem, wenn man sie mit den Windows-Versionen vergleicht. „Linux-spezifische Tools von chinesischen APTs sind selten, aber nicht unbekannt“, sagte Silas Cutler, Reverse Engineering Lead bei Chronicle. „In der Vergangenheit hatten Tools wie HKdoor, Htran und Derusbi bereits Linux-Varianten.“ Linux-Malware sei wahrscheinlich auch deswegen gering verbreitet, weil Linux den Akteuren genügend Möglichkeiten biete, was eine individuelle Anpassung von Werkzeugen unnötig mache.