Windows und Linux betroffen: Experten warnen vor neuer Cross-Platform-Malware
Von kleinen Büroroutern über Free-BSD-Hardware bis hin zu großen Unternehmensservern: Vor einer neuartigen Malware ist offenbar kaum ein System sicher.
In einem Blogpost warnen Forscher:innen der Black Lotus Labs von Lumen Technologies vor der Go-basierten Malware, die befallene Geräte für Kryptomining und DDoS-Attacken nutzen soll. Sie haben ihr den Namen Chaos gegeben, da dieses Wort wiederholt in Zertifikaten oder Dateien, die es befällt, auftaucht.
Frühestens im April dieses Jahres ist Chaos den Hacking-Expert:innen dem Bericht zufolge erstmals aufgefallen. Im Juni und Juli haben die Forschenden Hunderte Angriffe durch die Go-basierte Malware festgestellt. Die Zahl der Angriffe ist seitdem stetig gestiegen – allein am Dienstag stellte das Team 111 fest.
So funktioniert Chaos
Chaos erweist sich bei seinen Angriffen als ungewöhnlich wirksam. Dies liegt Black Lotus zufolge an mehreren Faktoren: „Erstens ist sie designt, um zusätzlich zu Windows- und Linux-Betriebssystemen über mehrere Architekturen zu funktionieren, einschließlich ARM, Intel (i386), MIPS und Power PC. Zweitens verbreitet sich Chaos, anders als andere Spam nutzende, Ransomware verbreitende Botnets wie Emotet, durch bekannte CVEs, Brute-Force-Attacken und gestohlene SSH-Schlüssel.“
Zu den CVE-Schwachstellen, die Black Lotus bislang feststellen konnte, gehören CVE-2017-17215 und CVE-2022-30525, die Huawei-Firewalls betreffen, sowie CVE-2022-1388, eine akute Sicherheitslücke in Lastverteilern und Firewalls von F5.
Die Brute-Force- und SSH-Attacken erlauben es Chaos, sich innerhalb eines infizierten Netzwerks auf allen Geräten auszubreiten. Zudem kann Chaos sämtliche Geräte in einem Netzwerk enumerieren und durch Remote-Zugriff Administratoren-Befehle auszuführen sowie zusätzliche Module zu laden – alles Faktoren, die die Malware enorm effizient machen.
Wie man sich vor Chaos schützt
Black Lotus tippt daher bei dem Erzeuger der Malware auf einen Cyberkriminellen, der „ein Netzwerk an infizierten Geräten kultiviert, um DDoS-Attacken und Kryptomining durchzuführen“, wie es in dem Bericht weiter heißt. Womöglich handelt es sich bei Chaos um einen Ableger von Kaiji – eine Botnet-Software, die Linux-basierte AMD- und i386-Server für DDoS-Attacken ins Visier nimmt.
Vor allem Nutzer:innen in Europa sind bislang von Chaos betroffen. Windows- und Linux-Nutzer:innen sollten daher sämtliche Router, Server und andere Geräte mit den neuesten Updates versorgen. Sie sollten zudem mit starken Passwörtern und, soweit möglich, mit FIDO2-basierter Authentifizierung geschützt werden. Da Malware Neustarts in der Regel nicht gut verträgt, schadet es zudem nicht, seine Router mindestens einmal pro Woche neu zu starten.