Die von den Cybersecurity-Forschern von Intezer entdeckte Linux-Malware trägt den Namen Orbit, nach Dateinamen, die sie verwendet, um die Ausgabe von ausgeführten Befehlen vorübergehend zu speichern. Linux ist ein beliebtes Betriebssystem für Server und Cloud-Infrastrukturen, was es zu einem verlockenden Ziel für Cyberkriminelle macht.

Die Orbit-Malware ermöglicht Cyberkriminellen den Fernzugriff auf Linux-Systeme, so dass sie Benutzernamen und Passwörter stehlen und TTY-Befehle – die Eingaben im Linux-Terminal – protokollieren können.

Darüber hinaus kann die Malware laufende Prozesse auf dem Rechner infizieren, so dass die Hacker letztlich die Kontrolle über das System übernehmen können, die sie zur Überwachung und zum Diebstahl von Informationen benötigen, und gleichzeitig eine Hintertür zu den kompromittierten Systemen erhalten.

Nach der Installation stellt Orbit eine Remote-Verbindung zu dem Rechner her und greift auf Funktionen des Linux Pluggable Authentication Module zu. Auf diese Weise kann die Malware Informationen aus SSH-Verbindungen (Secure Shell Protocol) stehlen und den Angreifern Fernzugriff gewähren, während sie gleichzeitig die Netzwerkaktivitäten des Opfers verbirgt.

Orbit ist außerdem so konzipiert, dass er sehr hartnäckig ist und nur schwer von einem infizierten Computer entfernt werden kann, während er läuft. Zu diesem Zweck werden Anweisungen hinzugefügt, dass die Malware vor allen anderen Prozessen geladen werden sollte.

Die Malware ist außerdem so konzipiert, dass sie sich der Erkennung entzieht. Sie verhindert, dass Informationen, die die Existenz von Orbit aufdecken könnten, entdeckt werden, indem sie die Ausgaben so manipuliert, dass keine bösartigen Aktivitäten angezeigt werden.

„Im Gegensatz zu anderen Bedrohungen stiehlt diese Malware Informationen von verschiedenen Befehlen und Dienstprogrammen und speichert sie in bestimmten Dateien auf dem Rechner“, so Nicole Fishbein, Sicherheitsforscherin bei Intezer.

„Bedrohungen, die auf Linux abzielen, entwickeln sich ständig weiter und bleiben dabei erfolgreich unter dem Radar der Sicherheitstools. Orbit ist ein weiteres Beispiel dafür, wie verborgen und hartnäckig neue Malware sein kann“, fügte sie hinzu.

Cloud-Dienste und -Server werden oft falsch konfiguriert, wodurch unbefugte Eindringlinge Zugang zu den Systemen erhalten. Unternehmen sollten sicherstellen, dass ihre Cloud-Einrichtung ordnungsgemäß verwaltet wird, um Schwachstellen wie diese zu vermeiden, die Angreifern den Zugang zu den Netzwerken ermöglichen könnten.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago