Linux-Malware in Telnet-Honeypot aufgespürt

Beim Aufspüren dieser Malware hatten selbst Sicherheitsexperten Probleme. Die Linux-Malware, die Geräte im Internet der Dinge (IoT) mit veralteter Firmware angreift, war Mitarbeitern der tschechischen Domainregistratur CZ.NIC aufgefallen. Die hatten in ihrem Telnet-Honeypot im Juni einen sprunghaften Anstieg verdächtiger Aktivitäten mitbekommen. Die Experten schlossen auf ein Botnet, das für die Verbreitung gezielt nach ungesicherten Telnet-Zugängen sucht, wie heise online berichtet.

Die Angriffe kamen den ersten Analysen zufolge von infizierten IoT-Geräten wie IP-Kameras, auf denen eine – veraltete – Firmware installiert war, die auf Linux basiert. Diese Firmware hatte offene Sicherheitslücken, die von der Malware offenbar ausgenutzt wurden. Allerdings konnten die tschechischen Experten keinen Virus finden, als sie eine solche infizierte Kamera untersuchten.

Linux-Malware durch Reboot entfernen

Des Rätsels Lösung: Die Sicherheitsexperten von Malwaremustdie haben die Malware gefunden, die offenbar recht erfolgreich versucht, nach der Infizierung der IoT-Geräte ihre Spuren zu verwischen. Sie nistet sich im Arbeitsspeicher ein und entzieht sich dadurch einfachen Auffindungsversuchen. Eigentlich würde die Malware durch ein Reboot entfernt werden, IoT-Geräte würden aber nicht oft neu gestartet, konstatieren die Sicherheitsexperten. Daher könne die Malware über einen langen Zeitraum ihr Unwesen treiben.

New #trojan targeting #IoT going mostly undetected. My inteview to @MalwareMustDie. #Botnet https://t.co/lNt0Unt3vm pic.twitter.com/PKCg9iDAup

— Odisseus (@_odisseus) September 5, 2016

Der Tipp der Experten an Besitzer eines älteren IoT-Gerätes lautet, Telnet auf den Geräten zu deaktivieren oder entsprechende Verbindungen zumindest genau zu beobachten. Außerdem sollten die Geräte durch eine Firewall geschützt und die Internetverbindung des Ports TCP/48101 gekappt werden, so das möglich ist.

Auch interessant: 25 Jahre Linux: Das Jahr des Linux-Desktops, das niemals kam