Linux-Botnet schürft Kryptowährungen

Linux-Nutzer müssen sich vor einem neuen Peer-to-Peer (P2P)-Botnet in Acht nehmen, das sich mit gestohlenen SSH-Schlüsseln zwischen Netzwerken verbreitet und seine Krypto-Mining-Malware im Speicher eines Geräts ausführt.

Das P2P-Botnet Panchan wurde im März von Akamai-Forschern entdeckt. Das Unternehmen warnt nun davor, dass es sich die Zusammenarbeit zwischen akademischen Einrichtungen zunutze machen könnte, um sich zu verbreiten, indem es zuvor gestohlene SSH-Authentifizierungsschlüssel über Netzwerke weitergibt.

Doch anstatt geistiges Eigentum dieser Bildungseinrichtungen zu stehlen, nutzt das Panchan-Botnet laut Akamai deren Linux-Server zum Schürfen von Kryptowährungen.

Die Nutzung fremder Hardware zum Schürfen von Kryptowährungen ist aufgrund des derzeitigen Krypto-Crashs vielleicht nicht mehr so lukrativ wie früher, aber Panchans Mining-Rig kostet die Störenfriede, die sie nutzen, nichts.

Panchan ist ein Kryptojacker, der in der Programmiersprache Go geschrieben wurde. Kryptojacker missbrauchen die Rechenleistung anderer, um Kryptowährungen zu schürfen.

Das P2P-Protokoll von Panchan kommuniziert im Klartext über TCP, kann aber laut Akamai der Überwachung entgehen. Die Malware verfügt über ein „Godmode“-Admin-Panel, das mit einem privaten Schlüssel geschützt ist, um Mining-Konfigurationen aus der Ferne zu steuern und zu verteilen.

„Das Admin-Panel ist in japanischer Sprache verfasst, was auf den geografischen Standort des Urhebers schließen lässt“, so Steve Kupchik von Akamai. Panchan ist aber auch bereits in zweistelligen Zahlen in Deutschland festgestellt worden.

„Das Botnet bietet einen einzigartigen (und möglicherweise neuartigen) Ansatz für laterale Bewegungen durch das Abgreifen von SSH-Schlüsseln. Anstatt wie die meisten Botnets nur Brute-Force- oder Wörterbuchangriffe auf zufällig ausgewählte IP-Adressen durchzuführen, liest die Malware auch die id_rsa- und known_hosts-Dateien, um vorhandene Anmeldeinformationen abzugreifen und sie zu nutzen, um sich seitlich im Netzwerk zu bewegen.“

Die Autoren von Panchan sind offenbar Fans der Programmiersprache Go, die 2007 von Google-Ingenieuren entwickelt wurde. Wer auch immer Panchan geschrieben hat, kompilierte die Malware mit der Go-Version 1.18, die Google im März veröffentlicht hat.

Was das P2P-Netzwerk betrifft, so hat Akamai 209 Peers gefunden, von denen jedoch nur 40 derzeit aktiv sind und die meisten in Asien angesiedelt sind.

Und warum ist der Bildungssektor stärker von Panchan betroffen? Akamai vermutet, dass dies an mangelnder Passworthygiene liegen könnte oder daran, dass sich die Malware mit gestohlenen SSH-Schlüsseln durch das Netzwerk bewegt.

„Forscher in verschiedenen akademischen Einrichtungen arbeiten möglicherweise häufiger zusammen als Mitarbeiter in der Wirtschaft und benötigen Anmeldedaten, um sich bei Rechnern außerhalb ihrer Organisation/ihres Netzwerks zu authentifizieren. Diese Hypothese wird dadurch gestärkt, dass einige der beteiligten Universitäten aus demselben Land (z. B. Spanien) und andere aus derselben Region (z. B. Taiwan und Hongkong) stammten“, so Kupchik.

Die Wurmfunktionen der Malware beruhen auf SSH, das durch die Suche nach vorhandenen SSH-Schlüsseln oder durch das Ausprobieren von leicht zu erratenden oder voreingestellten Anmeldedaten erworben wird.