Python-Botnet rekrutiert Linux-Rechner

Das Computersicherheitslabor F5 meldet die Entdeckung eines Botnetzes, das infizierte Linux-Rechner heimlich als Codeminer für die Kryptowährung Monero einspannen soll. Das von den Forschern auf "PyCryptoMiner" getaufte Netz verbreitet sich über das ssh-Protokoll, indem es per Brute Force Passwörter errät. Im Erfolgsfall kommt unauffällig ein kryptisch benanntes Skript durch den fast allgegenwärtigen Python-Interpreter zur Ausführung, das lediglich ein weiteres Python-Skript von einem Kontrollserver nachlädt. Dieses wiederum richtet einen cron-Job ein, der alle sechs Stunden Informationen über den befallenen Rechner nach Hause telefoniert und im übrigen die intendierte Aktion ausführt – nach Auffassung der F5-Forscher zum Beispiel Berechnungen fürs Coin-Mining.

Den Kontrollserver adressiert PyCryptoMiner nicht wie üblich über eine feste IP-Adresse, sondern über eine Referenz auf den anonymen Veröffentlichungs-Host pastebin.com. Dadurch, dass die Betreiber auf dieser Referenz kurzfristig neue Serveradressen eintragen können, lässt sich das Netz nicht einfach aushebeln, indem man eine solche Server-Adresse blockiert.

Andererseits konnten die Forscher über besagte pastebin-Referenz Informationen über das Botnetz sammeln. So wollen sie entdeckt haben, dass diese Referenz seit August 2017 täglich etwa 1000-mal aufgerufen wird. Der Inhaber der referenzierten Domäne hat anscheinend 235 unterschiedliche E-Mail-Adressen und nicht weniger als 36.000 weitere Domänen registriert, die für unter anderem für Glücksspiele und Porno-Inhalte verwendet werden.

"Während sie ihren Beitrag schrieben", fanden die F5-Mitarbeiter Hinweise, dass seit Dezember JBoss-Server für PyCryptoMiner attackiert wurden und womöglich 158 Einheiten der Kryptowährung Monero mit dem gegenwärtigen Marktwert von etwa 60.000 US-Dollar "verdient" haben. Nebenbei scheinen die infizierten Rechner Programme zur Sabotage lokaler Antiviren-Programme auszuführen. (hps)