Unit 42, die Anti-Malware-Abteilung des Security-Anbieters Palo Alto Networks, hat mit Amnesia eine neue Variante des IoT/Linux-Botnets Tsunami entdeckt. Das Bot-Netz attackiere eine Schwachstelle der digitalen Videorekorder (DVRs) des Herstellers TVT Digital in über 70 Ländern. Damit hat die Schadsoftware laut Unit 42 rund 230.000 Endgeräte im Visier.

Die Sicherheitsexperten gehen außerdem davon aus, dass Amnesia die erste Linux-Malware ist, die virtuelle Maschinen (VMs) täuschen kann, um die Analysewerkzeuge von Sandboxes zu umgehen. Bisher sei diese Methode nur von Malware bekannt gewesen, die Hacker für Angriffe auf Microsoft Windows oder Google Android verwendet haben.

Befällt Amnesia ein System, versucht es zunächst herauszufinden, ob sich die Malware in einer VM wie Virtualbox, VMware oder QEMU befindet. Entdeckt der Schädling eine solche Umgebung, löscht er anschließend das virtualisierte Linux-System indem er alle Dateien im File-System löscht. Dieses Vorgehen haben die Sicherheitsexperten nach eigenen Angaben nicht nur in Linux -Malware-Analyse-Sandboxes sondern auch auf einigen QEMU-basierten Linux-Server in einer VPS- oder Public-Cloud-Umgebung beobachtet.

Dabei nutzt Amnesia eine Schwachstelle zur Remote-Ausführung von Code, indem sie aktiv nach angreifbaren Systemen sucht, diese lokalisiert und infiziert. Obwohl die Schwachstelle in den DVRs seit über einem Jahr bekannt ist, hat der Hersteller diese noch nicht beseitigt, sodass sie nach wie vor ein Einfallstor für Attacken darstellen, so Palo Alto.

Ist die Malware mit ihrem Angriff erfolgreich, übernimmt sie das infizierte Endgerät komplett. Angreifer seien dadurch in der Lage, das Amnesia-Botnet für große DDoS-Attacken zu nutzen, die den Mirai-Botnet-Angriffen aus dem vergangenen Herbst ähnlich sind. Des Weiteren offenbart die erste Linux-Malware interessante Eindrucke, die, so die Sicherheitexperten, Trends bei IoT/Linux-Botnets veranschaulichen. Demnach nutzt Linux-Malware nun auch klassische Techniken zur Täuschung von VMs und adressiert und attackiert Schwächen in der Software zur Fernsteuerung von IoT-Endgeräten. Oft stammen diese von kleineren Herstellern, die häufig keine Patches anbieten. Auch ist die Malware in der Lage, Linux-Server zu befallen, die in VPS- oder Public-Cloud-Umgebungen laufen.

Weitere Informationen zur Malware findet sich unter researchcenter.paloaltonetworks.com/2017/04/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet.

Amnesia attackiert eine Schwachstelle der digitalen Videorekorder (DVRs) des Herstellers TVT Digital in über 70 Ländern. Die Karte zeigt, welche Länder besonders betroffen sind. Bild: Palo Alto Networks

Timo Scheibe ist Redakteur bei der LANline.