Hochentwickelte Linux-Malware

Zu der Malware gehört ein Rootkit auf Kernel-Ebene. Es kann Dateien, Prozesse und Dienste wirksam verbergen. Auch die Persistenzmechanismen funktionieren sehr gut. Das Rootkit kann sich so den üblichen Detektionsmethoden entziehen, gleichzeitig macht es eine Bereinigung infizierter Systeme schwer.

Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) weist in seinem Webauftritt auf diese neue Malware hin.

Die Vermutung besteht, dass der Schadcode von der nordkoreanischen Hacker-Gruppierung Kimsuky entwickelt wurde. Mutmaßlich waren Einrichtungen in Südkorea ursprüngliche Angriffsziele. Da der Quell-Code öffentlich verfügbar ist, existiert die Gefahr, dass Cyber-Akteure ihn vermehrt nutzen und auch gegen Einrichtungen in anderen Ländern richten. Eine unmittelbare Gefährdung für Einrichtungen in Deutschland ist derzeit zwar nicht bekannt, die Veröffentlichung ist jedoch ein ernstes Warnsignal.

Präventive Maßnahmen sind nicht bekannt. Sandfly Security empfiehlt Folgendes:

• Setzen Sie automatisierte Detektions-Tools ein, um dieses Rootkit aufzuspüren.
• Wenn das Rootkit detektiert wird, sind individuelle Maßnahmen je nach Situation erforderlich. Ziehen Sie dazu den Analysebericht von Sandfly Security zu Rate (siehe Link unten).