Chinesische Angreifer kapern Linux-Netzwerkgeräte per SSH

Eine chinesische Hackergruppe hat eine neue Angriffsmethode ent­wi­ckelt, bei der sie den SSH-Daemon von Netzwerkgeräten übernimmt. Dabei wird Malware in die Systeme geschleust, die dann für länger­fristige Kampagnen und verdeckte Operationen genutzt wird.
Internet, Daten, Netzwerk, Router, Switch, Datenübertragung, Kabel, Telekommunikation, Traffic, Gigabit, Ethernet, stecker, Binär, 720695, Patch-Feld, Netzwerkkabel, 1001

Wieder mal Evasive Panda

Die Gruppe, die in dem Fall aktiv ist, ist unter dem Namen Evasive Panda und auch DaggerFly bekannt. Laut den Sicherheitsforschern von Fortinet setzen sie auf eine Angriffssuite namens "ELF/Sshdinjector.A!tr", die bereits seit Mitte November 2024 bei verschiedenen anderen gezielten Attacken zum Einsatz kam, berichtete Bleeping Computer.

Nachdem ein Netzwerkgerät auf Linux-Basis kompromittiert wurde - der initiale Vorgang bleibt dabei aktuell noch etwas rätselhaft - prüft ein sogenannter Dropper, ob das Zielsystem bereits infiziert ist und ob der Zugriff mit Root-Rechten erfolgt. Sind diese Bedingungen erfüllt, werden mehrere Binärdateien auf das Gerät geladen.

Spartipp: 19% MwSt.-Rabatt bei Media Markt und Saturn (Anzeige)


Eine zentrale Komponente ist dabei eine manipulierte SSH-Bibliothek (libssdh.so), die in den SSH-Daemon injiziert wird und als Hauptbackdoor für die Command-and-Control-Kommunikation sowie den Datendiebstahl fungiert. Weitere Dateien, wie "mainpasteheader" und "selfrecoverheader", sorgen dafür, dass sich die Angreifer dauerhaft auf dem System einnisten können.

Komplette Übernahme

Die eingeschleuste Bibliothek ermöglicht den Angreifern eine Vielzahl von Befehlen zu nutzen, um Systeminformationen zu sammeln, Prozesse zu überwachen und sogar komplette Systembefehle aus der Ferne auszuführen. Zu den verfügbaren Funktionen gehören das Erfassen von Hostnamen, MAC-Adressen und anderen Systemdetails, das Auslesen sensibler Dateien wie der Passwortdatei (/etc/shadow) sowie das Abrufen von Systemlogs aus Verzeichnissen wie /var/log/dmesg.

Außerdem können sie Dateien hoch- und herunterladen, Verzeichnisse listen, Dateien umbenennen oder sogar einen Remote-Shell-Zugang eröffnen. Insgesamt sind bis zu 15 unterschiedliche Befehle implementiert, die den Angreifern umfangreiche Kontrolle über das infizierte System gewähren. Dadurch lassen sich die gekaperten Geräte dann für weitergehende Attacken nutzen.

Download UNetbootin - Live-USB-Sticks mit Linux erstellen
Zusammenfassung
  • Chinesische Hackergruppe entwickelt neue SSH-Angriffsmethode
  • Malware wird für längerfristige Kampagnen in Systeme eingeschleust
  • Angriffssuite 'ELF/Sshdinjector.A!tr' seit November 2024 im Einsatz
  • Manipulierte SSH-Bibliothek dient als Hauptbackdoor für C&C-Kommunikation
  • Angreifer können bis zu 15 verschiedene Befehle auf infizierten Systemen ausführen
  • Gekaperte Geräte lassen sich für weitergehende Attacken nutzen
  • Initiale Kompromittierung von Linux-Netzwerkgeräten bleibt noch unklar

Siehe auch:
Thema:
Hacker
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!