BSI: Kampf gegen das Ebury-Rootkit ist sehr zäh

Über Monate haben manche Hosting-Provider ihre Kunden trotz entsprechender Hinweise durch das BSI nicht darüber informiert, dass Rechner mit dem SSH-Rootkit Ebury infiziert waren. Schon seit Februar 2013 hat das beim BSI angesiedelte CERT-Bund (Computer Emergency Response Team für Bundesbehörden) verschiedene Varianten des Schadprogramms Ebury analysiert. Dieses nistet sich in Linux und Unix-ähnlichen Betriebssysteme ein. Auf infizierten Rechnern, in den meisten Fällen Server, stiehlt die Schadsoftware unter anderem Zugangsdaten und übermittelt diese an die Angreifer.

Laut dem CERT-Bund habe man zusammen mit anderen Sicherheits-Teams tausende befallene Systeme ausfindig machen können. Die Hoster, bei denen diese in den Datenzentren stehen, seien jeweils zeitnah informiert worden. Sie wurden dabei auch gebeten, die Betreiber der betroffenen Systeme entsprechend zu benachrichtigen.

Die Anzahl der infizierten Systeme ist in den letzten Monaten jedoch nur sehr langsam zurückgegangen. Gespräche mit Betreibern betroffener Server haben nun gezeigt, dass einige Hosting-Provider ihre Kunden offenbar erst mit Verzögerungen von mehreren Wochen über die ihnen gemeldeten Infektionen informiert haben, so das CERT-Bund. Die Täter konnten die kompromittierten Server in dieser Zeit weiterhin für kriminelle Aktivitäten nutzen. Das Ausspähen abgehender SSH-Verbindungen ermöglichte den Angreifern außerdem, Zugangsdaten oder SSH-Schlüssel für weitere Systeme zu erlangen und diese ebenfalls unter ihre Kontrolle zu bringen.

Die mit Ebury infizierten Systeme werden für verschiedene kriminelle Aktivitäten missbraucht, unter anderem für die Umleitung von Besuchern kompromittierter Webseiten auf Drive-by-Exploits oder den massenhaften Versand von Spam-Mails. Da die Angreifer über Root-Rechte auf den kompromittierten Systemen verfügen, sind sie in der Lage, beliebige Dateien auszulesen, zu löschen oder zu modifizieren. Malware, Zahlen, Stuxnet, grün marsmet481 / Flickr