Cyberspionage

Mysteriöser Virus aus China zapft Linux-Rechner an

Symbolbild.

(Bild: stock.adobe.com)

Virenprogrammierer richten sich bei der Wahl des Zielbetriebssystems meist nach dessen Verbreitung, entsprechend selten sind Schädlinge für das freie Betriebssystem Linux. Doch es gibt sie: Dem IT-Security-Unternehmen Intezer aus den USA ist mit „RedXOR“ eine Linux-Malware ins Netz gegangen, die Daten abgreift und an ihre Hintermänner schickt. Diese sollen dem chinesischen Staat nahestehen.

Entdeckt wurde der Schädling in zwei Samples, die Intezer aus Taiwan und Indonesien zugespielt wurden - Ländern, die in der Vergangenheit schon öfter Ziel chinesischer Abhöraktivitäten geworden seien, berichtet das IT-Security-Newsportal „The Hacker News“.

Der Schädling tarnt sich als gängiger Linux-Werkzeugkasten namens Polkit und erstellt beim Ausführen ein verstecktes Verzeichnis, bevor er sich ins System einnistet. Der Schädling kommt mit einer verschlüsselten Konfigurations-Datei, in der hinterlegt ist, wie er sich mit seinem Kommandoserver verbinden kann.

„RedXOR“ sammelt Daten, manipuliert Dateien
Die Fähigkeiten von „RedXOR“ sind vielfältig: Der Linux-Schädling kann System- und Benutzerinformationen wie MAC-Adresse oder Username sammeln, aber auch Dateien manipulieren, Befehle mit Administratorrechten ausführen und sich selbst updaten.

Die gesammelten Daten schickt der Linux-Schädling, getarnt als http-Traffic, an die Hinterleute.

(Bild: APA/dpa/Felix Kästle)

Die erbeuteten Daten werden in verschlüsselter Form zu den Hintermännern geschickt, die Kommunikation wird dabei als harmlos wirkender http-Traffic getarnt. Auf infizierten Systemen könne „RedXOR“ unschädlich gemacht werden, indem der zugehörige Prozess beendet und die versteckten Dateien gelöscht werden, erklären die Virenjäger.

Linux wird als Ziel immer attraktiver
Die Entdeckung von „RedXOR“ sei ein Indiz dafür, dass Cyberkriminelle und staatliche Hacker sich zunehmend für Linux-Systeme interessieren, was angesichts der Verbreitung des freien Betriebssystems auf Internet-of-Things-Geräten oder Servern in Rechenzentrum auch nicht überrasche.

Intezer prognostiziert: „Einige der bekanntesten nationalstaatlichen Akteure haben offensive Linux-Fähigkeiten in ihr Arsenal aufgenommen und es wird erwartet, dass sowohl die Anzahl als auch die Komplexität solcher Angriffe im Laufe der Zeit zunehmen werden.“