Quelle: Nextron Systems
Sicherheitsforscher der deutschen Cybersecurityfirma Nextron Systems haben nach eigenem Bekunden eine Linux-Backdoor identifiziert, die bislang unbemerkt geblieben sei. Die Experten haben sie Plague getauft. Plague sei als bösartiges PAM (Pluggable Authentication Module) aufgebaut und ermögliche es Angreifern, die Systemauthentifizierung unbemerkt zu umgehen und dauerhaften SSH-Zugriff zu erlangen, heißt es im Blogbeitrag der Forscher.
Die Aufmerksamkeit der Experten hat Plague erlangt, weil nach deren Kenntnisstand im Laufe des letzten Jahres mehrere Varianten dieser Backdoor auf VirusTotal hochgeladen wurden, aber keine einzige davon von einer Antiviren-Engine als bösartig eingestuft wird. Es seien keine öffentlichen Berichte oder Erkennungsregeln für diese Bedrohung zu finden, was darauf hindeutet, dass sie in mehreren Umgebungen unbemerkt geblieben sei.
Den Forschern zufolge integriert sich Plague tief in den Authentifizierungsstack, übersteht Systemaktualisierungen und hinterlässt fast keine forensischen Spuren. In Kombination mit mehrschichtiger Verschleierung und Manipulation der Umgebung sei es daher mit herkömmlichen Tools äußerst schwer zu erkennen. Und die Fähigkeit, über lange Zeiträume hinweg unbemerkt zu bleiben, unterstreiche die Gefahr von Backdoors, die auf grundlegende Systemkomponenten wie PAM abzielen. Im Blogbeitrag sind technische Details zu Plague beschrieben.
