Woche 21: Gehackte Linux-Server als Geldesel

30.05.2023 - Bei Meldungen zu gehackten Systemen denken wohl die Wenigsten daran, dass die Cyberkriminellen nicht an den darauf gespeicherten Daten, sondern lediglich an den Ressourcen interessiert sein könnten. Bekannt ist, dass Cyberkriminelle öfters für das «Crypto Mining» Systeme kapern und diese dann für sich rechnen lassen. Ein dem NCSC gemeldeter Fall zeigt noch eine andere Methode auf, wie Cyberkriminelle mit gehackten Systemen versuchen, Geld zu verdienen.

In einem kürzlich beim NCSC eingegangen Fall bemerkte der Meldende einen unautorisierten Zugriff auf seinen Linux-Server. Die Analyse der von den Angreifern abgesetzten Befehle zeigt, wie die Angreifer vorgegangen sind und was ihre Absicht gewesen ist Nachdem die Cyberkriminellen Zugriff auf das Linux-System erlangt hatten, installierten sie in einem ersten Schritt einige kleine Hilfsprogramme. In einem zweiten Schritt installierten die Cyberkriminellen die Virtualisierungs-Software Docker. Mit dieser Software können vorbereitete Programme als sogenannte Container direkt auf einem System laufen gelassen werden.

Ausschnitt aus der Kommandozeilen-History der Angreifer. Pikantes Detail: Für die Dateiverwaltung verwenden sie den aus den 90er Jahren stammenden «Midnight Commander» (mc).
Ausschnitt aus der Kommandozeilen-History der Angreifer. Pikantes Detail: Für die Dateiverwaltung verwenden sie den aus den 90er Jahren stammenden «Midnight Commander» (mc).

Mittels eines Scripts wurden aus dem öffentlichen Software-Repository Github weitere Software-Pakete automatisch heruntergeladen und ausgeführt. Die letztinstallierten Software-Pakete waren das eigentliche Ziel der Angreifer, denn mit dieser Software lässt sich Geld verdienen.

Geld verdienen, ohne zu arbeiten

Anbieter von Werbenetzwerken bieten Geld dafür, um ihre Produkte (z. B. Werbevideos, Promotionscodes, usw.) in allen Weltregionen und auf den unterschiedlichsten Kundengeräten testen zu können. Dieses Vorgehen ist für die Werbetreibenden günstiger, als alle möglichen Geräte und OS-Versionen selbst zu beschaffen und damit zu testen. Um an diese grosse Masse von Testgeräten zu gelangen wird eine Software installiert. Diese Software misst zudem die genutzten Ressourcen, wie beispielsweise die Netzwerkkapazität, und berechnet die für die Nutzung fällige Entschädigung.

Zwei Anbieter, der von den Angreifern verwendeten Software-Tools. Links die Webseite von traffmonetizer und rechts diejenige von peer2profit.
Zwei Anbieter, der von den Angreifern verwendeten Software-Tools. Links die Webseite von traffmonetizer und rechts diejenige von peer2profit.

Die Angreifer nutzen diese Software nun, um gekaperte Infrastrukturen für sich arbeiten und Geld verdienen zu lassen. Wie im aktuellen Fall den Linux-Server. Mittels eines Scripts wird die heruntergeladene Software installiert und konfiguriert. Zudem wird ein neuer Benutzer angelegt. Anschliessend starten die Angreifer die Installation, weitere Interaktionen ihrerseits sind nicht notwendig.

Links ist das offizielle Software-Depot der Werber auf GitHub abgebildet – die Software stammt aus China.  Rechts das von den Angreifern verwendete Installations-Script, rot umrandet die Befehle zum Einrichten eines Benutzers «intell» mit Passwort «intell».
Links ist das offizielle Software-Depot der Werber auf GitHub abgebildet – die Software stammt aus China.
Rechts das von den Angreifern verwendete Installations-Script, rot umrandet die Befehle zum Einrichten eines Benutzers «intell» mit Passwort «intell».

Das gewählte - schwache - Passwort für diesen Benutzer ermöglicht es auch anderen Angreifern, auf das System zu gelangen und allenfalls weit gefährlichere Angriffe durchzuführen. Das angegriffene System wird also nachhaltig geschwächt.
Für die Abrechnung benötigen die Angreifer zwar ein Konto, welches im Script hinterlegt ist, aber die Angaben dort sind vermutlich gefälscht und die Bezahlung erfolgt dann mittels Kryptowährung.

Im aktuellen Fall konnte der Meldende die Veränderungen auf dem System selbst rückgängig machen und den Zugang auf das System absichern.

  • Halten Sie alle Software immer aktuell;
  • Sichern Sie alle Zugänge auf die Systeme, insbesondere die für die Fernwartung verwendeten;
  • Kontrollieren Sie die Log-Daten – insbesondere die Logins – der Server regelmässig;
  • Lassen Sie Zugriffe von Servern auf das Internet über einen authentisierten Proxyserver laufen;
  • Verwenden Sie sichere Zugangsdaten – am besten eine Zwei-Faktor-Authentisierung – für die Fernwartung.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 30.05.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/23w21-de