Neue Linux-Backdoors der Gelsemium-Hackergruppe entdeckt

  |
Linux-Backdoors

Neue Linux-Backdoors der Gelsemium-Hackergruppe entdeckt

ESET Forscher haben zwei neue Linux-Backdoors entdeckt, die wahrscheinlich von der China-nahen Hackergruppe Gelsemium stammen. Die Entdeckung erfolgte nach der Analyse von Archiven, die im Jahr 2023 auf Googles Online-Dienst Virus Total hochgeladen wurden.

Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet. Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienen der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammeln.

Während Wolfsbane sich zweifellos Gelsemium zuordnen lässt, kann ESET FireWood allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig sind.

„Professionelle Hacker fokussieren sich stärker auf Linux-Systeme und Linux-Backdoors – das ist eine besorgniserregende Entwicklung“, erklärt der ESET Forscher Viktor Šperka, der die Analysen durchgeführt hat. „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für Windows-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyberkriminelle neue Angriffsmöglichkeiten abwägen. Linux rückt dabei immer stärker in den Fokus.“

Linux-Backdoors im Fadenkreuz von Cyberangriffen

Die Analysen enthüllten die ausgefeilte Technik der beiden Linux-Backdoors. WolfsBane ist eine Linux-Version der bekannten Windows-Schadsoftware „Gelsevirine“ und nutzt Rootkits, um ihre Aktivitäten zu verschleiern. Ein Rootkit ist eine Schadsoftware, die es Cyberkriminellen ermöglicht, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.

FireWood hingegen zeigt Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, die ebenfalls von Gelsemium genutzt wurde. Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen. Beide Backdoors wurden so konzipiert, dass sie unbemerkt bleiben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichen.

ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf Virus Total hochgeladen wurden. Dies deutet darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt wurde. Die betroffenen Systeme waren vorwiegend Linux-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten. Die Archive enthalten auch mehrere Werkzeuge, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichen.

Unternehmen müssen Sicherheitsstrategien überdenken

Die Entdeckung der neuen Werkzeuge zeigt, wie wichtig ein umfassender Schutz für Linux-Systeme geworden ist. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen.

Eine ausführliche technische Analyse finden Sie im Forschungs-Blogpost “Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine“.

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Marktplatz IT-Sicherheit Skip to content