Linux-Malware attackiert digitale Videorekorder

Experten des Security-Anbieters Palo Alto Networks haben eine neue Variante des Internet-of-Things-/Linux-Botnets Tsunami entdeckt. Das neue Botnet attackiert dabei eine Schwachstelle digitaler Videorekorder des Anbieters TVT Digital in über 70 Ländern. Gefährdet sind laut Palo Alto über 230'000 Endgeräte. Die Schadsoftware mit Namen Amnesia setzt dazu eine neue Technik ein, bei der sie virtuelle Maschinen erkennt und löscht, um Analysewerkzeuge von Sandboxes zu umgehen. Ausserdem löscht sich die Software selbst, um keine Spuren zu hinterlassen. Laut Palo Alto ist Amnesia die erste Linux-Malware, die diese Technik verwendet.

Amnesia versucht dabei herauszufinden, ob sich die Malware in einer virtuellen Maschine befindet. Ist dies der Fall, löscht sie das virtualisierte System, indem sie alle Dateien im Filesystem löscht. Zur Remote-Ausführung von Code nutzt die Software eine Schwachstelle, indem sie aktiv nach angreifbaren Systemen sucht, diese lokalisiert und infiziert. Die Schwachstelle der Videorekorder von TVT Digital ist zwar seit über einem Jahr bekannt, wurde aber bis anhin noch nicht beseitigt. Das durch die infizierten Geräte entstehende Botnet kann zum Beispiel für Denial-of-Service-Angriffe verwendet werden. Palo Alto hält umfangreiche DDos-Attacken wie etwa durch Mirai-Botnets für möglich. Diese Angriffe vom vergangen Jahr waren äusserst umfangreich und schädlich.

Laut Palo Alto veranschaulicht die Malware interessante Trends bei IoT-/Linux-Botnets. Einerseits nutzt Linux-Malware nun auch klassische Techniken zur Täuschung von virtuellen Maschinen und adressiert Schwächen in der Software zur Fernsteuerung von IoT-Endgeräten, welche meist von kleineren Herstellern, die keine Patches anbieten, stammen. Andererseits kann IoT-/Linux-Malware auch Linux-Server befallen, die in VPS- oder Public-Cloud-Umgebungen laufen.