Beveiligingsbedrijf ESET heeft aangekondigd 21 nieuwe malware-families gericht op Linux te hebben ontdekt. Alle families werken op eenzelfde soort manier: als een trojan-versie van de OpenSSH-client. Dat meldt ZDNet.
De families wisten vier jaar lang onder de radar te blijven. Oorzaak daarvan is dat Linux veiliger is dan Windows en dat er veel minder dreigingen zijn voor het besturingssysteem dan voor Windows. Daardoor besteden beveiligingsbedrijven minder aandacht aan malware voor Linux dan dat ze doen voor Windows.
De malware-families zijn ontwikkeld om ingezet te worden in complexere botnet-plannen. Aanvallers komen binnen op een Linux-systeem, over het algemeen een server, en vervangen de legitieme OpenSSH-installatie met een van de malware-varianten.
Achttien van de 21 families bevatten een functie om credentials te stelen, aldus ESET. Daardoor is het mogelijk om wachtwoorden en sleutels te stelen. Zeventien van de 21 families bevatten verder een modus voor een achterdeurtje, waardoor een aanvaller later opnieuw onopvallend verbinding kan maken met de machine.
Windigo
Onderzoekers van ESET geven overigens toe dat zij niet de ontdekkers waren van de families, maar dat die eer naar een andere malware voor Linux gaat. Het gaat om Windigo, ook bekend als Ebury. De onderzoekers analyseerden een Windigo-botnet en zijn centrale Ebury-achterdeur. Daarbij ontdekten ze dat Ebury een intern mechanisme bevatte dat scande naar andere lokaal geïnstalleerde OpenSSH-achterdeurtjes.
De makers van Windigo deden dit via een Perl-script dat scande naar veertig hashes waarvan ze wisten dat ze ingezet werden door concurrerende malware-groepen. Toen naar die hashes gekeken werd, realiseerden de onderzoekers zich dat ze geen samples hadden die overeenkwamen met de meeste achterdeurtjes beschreven in het script.
ESET gebruikte diezelfde lijst aan hashes de afgelopen jaren om de malware-families te vinden. Een deel van de originele veertig hashes zijn nog nooit gespot, waarschijnlijk omdat hun makers inmiddels andere malware gebruiken. 21 werden echter nog wel gebruikt in de afgelopen jaren.
Hoe de achterdeurtjes precies geplaatst worden op geïnfecteerde systemen, is niet bekendgemaakt.