Das neue gemeinsame Forschungsprojekt von Intezer Labs und dem BlackBerry Research & Intelligence Team befasst sich unter dem Titel „Symbiote Deep-Dive: Analysis of a New, Nearly-Impossible-to-Detect Linux Threat“ eingehend mit dieser Bedrohung. Der vollständige Bericht steht hier zur Verfügung.
Digitale Symbiose
Das Hauptziel der „Symbiote“ genannten Malware besteht darin, Anmeldeinformationen abzufangen und den Backdoor-Zugang zum Computer des Opfers zu erleichtern. Da die Malware viele Möglichkeiten – einschließlich Rootkit-Funktionalität – hat, sich zu verstecken, kann es schwierig sein, einen Befall zu erkennen.
Symbiote unterscheidet sich von anderer Linux-Malware dadurch, dass sie laufende Prozesse infiziert, anstatt eine eigenständig ausführbare Datei zu verwenden, um Schaden anzurichten. Hat sich die Bedrohung auf einem Rechner eingenistet, aktiviert sie die Rootkit-Funktionalität, um Anzeichen für ihre Anwesenheit zu verbergen.
Versteckt im Netzwerkverkehr
Symbiote versteckt nicht nur ihre Existenz im Dateisystem, sondern auch ihren Netzwerkverkehr, indem sie einen Berkeley Packet Filter (BPF) nutzt. Es ist nicht das erste Mal, dass diese Technik auf Linux-Rechnern zum Einsatz kommt – schon seit Jahren sind Hacking-Tools, die der Equation Group zugeschrieben werden und BPF für verdeckte Kommunikation nutzen, bekannt. Dies ist jedoch das erste Mal, dass diese Technik für finanziell motivierte Malware eingesetzt wird.
Dadurch kann die Malware, wenn sie sich erfolgreich eingeschleust hat, auswählen, welche Ergebnisse sie anzeigt. Wenn ein Administrator auf dem infizierten Computer eine Paketaufzeichnung startet, um verdächtigen Netzwerkverkehr zu untersuchen, klinkt sich Symbiote in den Prozess der Inspektionssoftware ein und filtert mithilfe von BPF-Hooking die Ergebnisse heraus, die ihre Aktivitäten aufdecken würden.
Finanzsektor im Fokus
Als die Symbiote-Entwickler 2021 mit der Entwicklung der Malware begannen, hatten sie es speziell auf den Finanzsektor in Lateinamerika abgesehen. Die von der Malware verwendeten Domänennamen deuten darauf hin, dass sich die Bedrohungsakteure als brasilianische Banken ausgeben, was darauf schließen lässt, dass diese Banken oder deren Kunden potenzielle Ziele sind.
Angesichts des Potenzials im Finanzwesen und der daraus resultierenden möglichen Beute ist es für die Angreifer sinnvoll, dass die Malware ihm die Möglichkeit bietet, aus der Ferne auf den Computer zuzugreifen. Die Angreifer können zudem automatisch Anmeldeinformationen auf dem Rechner des Opfers abgreifen.
Symbiote ist eine der neuesten und ausgefeiltesten Linux-Bedrohungen, die in letzter Zeit aufgetreten ist. Da Angreifer ihr Augenmerk zunehmend auf Cloud-Workloads und Server richten, ist mit einer Zunahme von Linux-Bedrohungen zu rechnen. Das BlackBerry Threat Research & Intelligence-Team wird diese Bedrohungen weiterhin identifizieren, analysieren und melden sowie zur Entwicklung von erforderlichen Gegenmaßnahmen beitragen, um die Auswirkungen einzudämmen.
Der vollständige Bericht steht hier zur Verfügung.
BlackBerry Deutschland GmbH
Ratinger Strasse 9
40213 Düsseldorf
Telefon: +49 (211) 97199600
Telefax: +49 (211) 97199666
http://www.blackberry.com
Senior Account Executive
Telefon: +49 (211) 882476-22
E-Mail: jennifer.roggenkamper@teamlewis.com