Symbiote: Die nahezu unentdeckbare, neue Linux-Bedrohung

In der Pop-Kultur etwa in Comics verleiht ein Symbiont (Englisch: Symbiote) seinem Wirt oft übermenschliche Fähigkeiten – und sorgt gelegentlich auch für lustige, innere Monologe. Im realen Leben jedoch können parasitäre Symbionten einen Wirt bis an den Rand des Todes auslaugen, ohne dass dieser davon überhaupt etwas mitbekommt. Vor Kurzem haben Forscher vom BlackBerry Research & Intelligence Team in Kooperation mit Intezer Labs eine neue Linux-Malware entdeckt, die wie ein Symbiont arbeitet und sich in laufenden Prozessen sowie im Netzwerkverkehr versteckt, sodass ein Angreifer die Ressourcen eines Opfers stehlen kann. 

Das neue gemeinsame Forschungsprojekt von Intezer Labs und dem BlackBerry Research & Intelligence Team befasst sich unter dem Titel „Symbiote Deep-Dive: Analysis of a New, Nearly-Impossible-to-Detect Linux Threat“ eingehend mit dieser Bedrohung. Der vollständige Bericht steht hier zur Verfügung

Digitale Symbiose

Das Hauptziel der „Symbiote“ genannten Malware besteht darin, Anmeldeinformationen abzufangen und den Backdoor-Zugang zum Computer des Opfers zu erleichtern. Da die Malware viele Möglichkeiten – einschließlich Rootkit-Funktionalität – hat, sich zu verstecken, kann es schwierig sein, einen Befall zu erkennen.

Symbiote unterscheidet sich von anderer Linux-Malware dadurch, dass sie laufende Prozesse infiziert, anstatt eine eigenständig ausführbare Datei zu verwenden, um Schaden anzurichten. Hat sich die Bedrohung auf einem Rechner eingenistet, aktiviert sie die Rootkit-Funktionalität, um Anzeichen für ihre Anwesenheit zu verbergen. 

Versteckt im Netzwerkverkehr

Symbiote versteckt nicht nur ihre Existenz im Dateisystem, sondern auch ihren Netzwerkverkehr, indem sie einen Berkeley Packet Filter (BPF) nutzt. Es ist nicht das erste Mal, dass diese Technik auf Linux-Rechnern zum Einsatz kommt –  schon seit Jahren sind Hacking-Tools, die der Equation Group zugeschrieben werden und BPF für verdeckte Kommunikation nutzen, bekannt.  Dies ist jedoch das erste Mal, dass diese Technik für finanziell motivierte Malware eingesetzt wird.

Dadurch kann die Malware, wenn sie sich erfolgreich eingeschleust hat, auswählen, welche Ergebnisse sie anzeigt. Wenn ein Administrator auf dem infizierten Computer eine Paketaufzeichnung startet, um verdächtigen Netzwerkverkehr zu untersuchen, klinkt sich Symbiote in den Prozess der Inspektionssoftware ein und filtert mithilfe von BPF-Hooking die Ergebnisse heraus, die ihre Aktivitäten aufdecken würden. 

Finanzsektor im Fokus

Als die Symbiote-Entwickler 2021 mit der Entwicklung der Malware begannen, hatten sie es speziell auf den Finanzsektor in Lateinamerika abgesehen. Die von der Malware verwendeten Domänennamen deuten darauf hin, dass sich die Bedrohungsakteure als brasilianische Banken ausgeben, was darauf schließen lässt, dass diese Banken oder deren Kunden potenzielle Ziele sind.  

Angesichts des Potenzials im Finanzwesen und der daraus resultierenden möglichen Beute ist es für die Angreifer sinnvoll, dass die Malware ihm die Möglichkeit bietet, aus der Ferne auf den Computer zuzugreifen. Die Angreifer können zudem automatisch Anmeldeinformationen auf dem Rechner des Opfers abgreifen.

Symbiote ist eine der neuesten und ausgefeiltesten Linux-Bedrohungen, die in letzter Zeit aufgetreten ist. Da Angreifer ihr Augenmerk zunehmend auf Cloud-Workloads und Server richten, ist mit einer Zunahme von Linux-Bedrohungen zu rechnen. Das BlackBerry Threat Research & Intelligence-Team wird diese Bedrohungen weiterhin identifizieren, analysieren und melden sowie zur Entwicklung von erforderlichen Gegenmaßnahmen beitragen, um die Auswirkungen einzudämmen.

Der vollständige Bericht steht hier zur Verfügung.

Firmenkontakt und Herausgeber der Meldung:

BlackBerry Deutschland GmbH
Ratinger Strasse 9
40213 Düsseldorf
Telefon: +49 (211) 97199600
Telefax: +49 (211) 97199666
http://www.blackberry.com

Ansprechpartner:
Jennifer Roggenkämper
Senior Account Executive
Telefon: +49 (211) 882476-22
E-Mail: jennifer.roggenkamper@teamlewis.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel