Die Sicherheitsforscher von Check Point haben einen groß angelegten Angriff gegen Linux-Systeme aufgedeckt und warnen Unternehmen deshalb eindringlich, ihre Linux-Systeme umgehend zu aktualisieren. Mit der neuartigen Malware FreakOut versuchen Hacker, viele Systeme zu infiltrieren, um ein Bot-Netz aufzubauen.
Dabei wird eine kürzlich entdeckte Schwachstelle ausgenutzt, um sich Zugang zu den Systemen zu verschaffen – wer also sein System noch nicht auf den neuesten Stand gebracht hat, macht sich angreifbar und sollte umgehend die neuen Patches installieren. Die Sicherheitsforscher erkannten bisher 185 infizierte Systeme. Darüber hinaus vereitelte Check Point weltweit bereits über 380 dieser Angriffe – 13 davon in Deutschland.
Am heftigsten unter Beschuss stehen derzeit die Vereinigten Staaten von Amerika – knapp 27 Prozent aller Attacken zielten auf US-Systeme. Verantwortlich für die Welle ist ein altbekannter Hacker, der unter Pseudonymen wie Fl0urite und Freak agiert. Seine genaue Identität konnte bisher nicht ermittelt werden.
Die Infektionskette:
1. Der Angreifer beginnt mit der Installation von Malware über die Ausnutzung von drei Sicherheitslücken: CVE-2020-28188, CVE-2021-3007 und CVE-2020-7961.
2. Anschließend lädt der Angreifer ein Python-Skript auf die kompromittierten Geräte hoch und führt es aus.
3. Nun installiert der Angreifer XMRig, einen bekannten Kryptowährungs-Miner.
4. Danach bewährt sich der Angreifer seitlich im Netzwerk durch Ausnutzung der Sicherheitslücken.
Hat der Angreifer das System erfolgreich infiziert, so kann er Port-Scans durchführen, Informationen sammeln, das Netzwerk durchsuchen, oder einen DDoS-Angriff starten, um das System lahmzulegen.
Betroffen sind die folgenden Linux-Frameworks:
- TerraMaster TOS (TerraMaster Operating System), ein bekannter Anbieter von Datenspeichergeräten.
- Zend Framework, eine beliebte Sammlung von Bibliothekspaketen, die für die Erstellung von Web-Anwendungen verwendet werden.
- Liferay Portal, ein freies und quelloffenes Unternehmensportal, mit Funktionen zur Entwicklung von Web-Portalen und Websites.
„Wir haben eine laufende Kampagne identifiziert, die auf bestimmte Linux-Benutzer zielt. Der Akteur hinter dieser Kampagne ist ein sehr erfahrener Hacker und daher hochgefährlich,“ warnt Christine Schönig, Regional Director Security Engineering CER, bei Check Point.
„Die Tatsache, dass einige der ausgenutzten Schwachstellen gerade erst veröffentlicht wurden und dennoch schon ausgenutzt werden, unterstreicht die Wichtigkeit, das eigene Netzwerk kontinuierlich mit neuen Patches und Updates zu versorgen.“