APT: Winnti und EvilGnome spionieren Linux-Desktops aus

Die Sicherheitsfirma Intezer hat ein Spionageprogramm entdeckt, das sie auf den Namen EvilGnome getauft hat, weil es sich als Gnome-Erweiterung in den Linux-Desktop einklinkt. EvilGnome nimmt Befehle von einem Kontrollserver entgegen und verfügt über die typischen Funktionen eines Spionage-Tools: Es fertigt heimlich Screenshots an, kann Dateien stehlen und das Mikrofon des PCs als Wanze nutzen.

Der eingebaute Keylogger ist noch nicht fertig; die Malware befindet sich also eventuell noch im Entwicklungsstadium. Sie installiert sich als gnome-shell-ext in das Verzeichnis ~/.cache/gnome-software/gnome-shell-extensions/

Kein Einzelfall

Auf Grund des genutzten Command-and-Control-Servers und diverser Parallelen zu bekannter Malware ordnet Intezer den Linux-Spion der APT-Gruppe Gamaredon zu, die unter anderem durch gezielte Angriffe in der Ukraine auffällig wurde. Doch auch andere Spionage-Gruppen nehmen Linux ins Visier: Forscher der Ruhr-Uni Bochum, die viele Exemplare der für Angriffe auf deutsche DAX-Konzerne eingesetzte Schadsoftware Winnti analysierte, entdeckte dabei ebenfalls ein Linux-Pendant. "Wir haben diese Version ebenfalls untersucht. Sie arbeitet im wesentlichen genauso wie Winnti" erklärt Prof. Dr. Thorsten Holz von der RUB.

Typischerweise konzentrieren sich Cyberkriminelle auf die Windows-Plattform, weil diese fast überall vorzufinden ist. Linux mit seinem niedrigen einstelligen Marktanteil im Desktop-Bereich blieb da lange Zeit weitgehend unbeachtet. Aber bei gezielten Angriffen passen sich die Einbrecher an ihre Opfer an. Und wenn das Ziel Linux einsetzt, muss man eben seinen Werkzeugkasten ausbauen. Wie die Schadprogramme jeweils auf den Rechner kommen, ist nicht bekannt. Es ist gut vorstellbar, dass dies etwa im Rahmen von Spear-Phishing mit ausgefeiltem Social Engineering erfolgt. Denn dagegen sind auch Linux-Nutzer nicht immun. (ju)