Neue Linux-Malware Orbit

Die von den Cybersecurity-Forschern von Intezer entdeckte Linux-Malware trägt den Namen Orbit, nach Dateinamen, die sie verwendet, um die Ausgabe von ausgeführten Befehlen vorübergehend zu speichern. Linux ist ein beliebtes Betriebssystem für Server und Cloud-Infrastrukturen, was es zu einem verlockenden Ziel für Cyberkriminelle macht.

Die Orbit-Malware ermöglicht Cyberkriminellen den Fernzugriff auf Linux-Systeme, so dass sie Benutzernamen und Passwörter stehlen und TTY-Befehle – die Eingaben im Linux-Terminal – protokollieren können.

Darüber hinaus kann die Malware laufende Prozesse auf dem Rechner infizieren, so dass die Hacker letztlich die Kontrolle über das System übernehmen können, die sie zur Überwachung und zum Diebstahl von Informationen benötigen, und gleichzeitig eine Hintertür zu den kompromittierten Systemen erhalten.

Nach der Installation stellt Orbit eine Remote-Verbindung zu dem Rechner her und greift auf Funktionen des Linux Pluggable Authentication Module zu. Auf diese Weise kann die Malware Informationen aus SSH-Verbindungen (Secure Shell Protocol) stehlen und den Angreifern Fernzugriff gewähren, während sie gleichzeitig die Netzwerkaktivitäten des Opfers verbirgt.

Orbit ist außerdem so konzipiert, dass er sehr hartnäckig ist und nur schwer von einem infizierten Computer entfernt werden kann, während er läuft. Zu diesem Zweck werden Anweisungen hinzugefügt, dass die Malware vor allen anderen Prozessen geladen werden sollte.

Die Malware ist außerdem so konzipiert, dass sie sich der Erkennung entzieht. Sie verhindert, dass Informationen, die die Existenz von Orbit aufdecken könnten, entdeckt werden, indem sie die Ausgaben so manipuliert, dass keine bösartigen Aktivitäten angezeigt werden.

„Im Gegensatz zu anderen Bedrohungen stiehlt diese Malware Informationen von verschiedenen Befehlen und Dienstprogrammen und speichert sie in bestimmten Dateien auf dem Rechner“, so Nicole Fishbein, Sicherheitsforscherin bei Intezer.

„Bedrohungen, die auf Linux abzielen, entwickeln sich ständig weiter und bleiben dabei erfolgreich unter dem Radar der Sicherheitstools. Orbit ist ein weiteres Beispiel dafür, wie verborgen und hartnäckig neue Malware sein kann“, fügte sie hinzu.

Cloud-Dienste und -Server werden oft falsch konfiguriert, wodurch unbefugte Eindringlinge Zugang zu den Systemen erhalten. Unternehmen sollten sicherstellen, dass ihre Cloud-Einrichtung ordnungsgemäß verwaltet wird, um Schwachstellen wie diese zu vermeiden, die Angreifern den Zugang zu den Netzwerken ermöglichen könnten.