SSHStalker: Neuer Botnet bedroht Tausende Linux-Server

Ein neuartiger Botnet namens SSHStalker infiltriert weltweit Tausende Linux-Server mit einer gefährlichen Mischung aus alter und neuer Angriffstechnik. Die Schadsoftware hat bereits rund 7.000 Systeme kompromittiert, wie Sicherheitsforscher berichten. Das Hauptziel: Server mit schwachen SSH-Passwörtern.

Angriff mit alter und neuer Technik

Die Operation wurde vom Cybersicherheitsunternehmen Flare Systems entdeckt. Die Analyse zeigt eine hybride Kampagne. Sie kombiniert veraltete Taktiken aus Internet-Relay-Chat-Botnets von 2009 mit moderner Massen-Automatisierung.

Der Angriffsweg ist simpel, aber effektiv. Der Botnet scannt das Internet nach Linux-Servern mit offenen SSH-Ports. Anschließend erraten Brute-Force-Angriffe schwache Login-Daten. Nach dem Einbruch installiert die Malware einen eigenen Hintertür-Zugang via SSH-Key.

Die Schadsoftware entfaltet dann ein mehrstufiges Programm. Es installiert ein Binary, das nach weiteren verwundbaren Servern sucht. Zum Toolkit gehören C-Skripte und der GNU-Compiler (gcc), um direkt auf dem Opfersystem weitere Malware zu kompilieren. Mehrere IRC-Bots stellen die Verbindung zum Command-and-Control-Server her.

Hartnäckige Infektion durch Minutentakt

Ein Kernmerkmal ist die aggressive Persistenz-Mechanik. Die Malware richtet einen Cron-Job ein, der jede Minute prüft, ob der Hauptprozess noch läuft. Wird er beendet, startet er sich innerhalb von 60 Sekunden neu. Diese schnelle Erholung macht eine manuelle Bereinigung fast unmöglich.

Neben der Brute-Force-Methode nutzt der Botnet auch Exploits für eine Reihe alter Linux-Kernel-Schwachstellen, teils aus dem Jahr 2009. Gegen moderne, gepatchte Systeme sind diese wirkungslos. Doch sie treffen auf veraltete Infrastruktur, alte Appliances und vergessene VPS-Images, die noch immer online sind.

Klassische Abwehrmaßnahmen schützen

SSHStalker ähnelt früheren, mit Rumänien in Verbindung gebrachten Kampagnen wie Outlaw oder Dota. Eine direkte Verbindung wurde jedoch nicht gefunden. Die Wirksamkeit des Botnets basiert nicht auf neuen Zero-Day-Exploits, sondern auf schwachen Passwörtern und ungepatchten Systemen.

Die Abwehr ist vergleichsweise einfach und beruht auf grundlegenden Sicherheitspraktiken:
* SSH-Passwort-Authentifizierung deaktivieren und auf sichere SSH-Key-Authentifizierung umstellen.
* Notwendige Passwort-Logins hinter ein Virtual Private Network (VPN) setzen.
* Rate-Limiting für SSH-Login-Versuche implementieren, um Brute-Force-Angriffe zu vereiteln.
* Den Fernzugriff auf vertrauenswürdige IP-Bereiche beschränken.
* Auf abnormales Serververhalten achten, etwa den unerwarteten Einsatz eines Compilers wie gcc.

IT-Verantwortliche und Geschäftsführer, die jetzt handeln wollen, finden in einem kostenlosen E‑Book kompakte, praxisnahe Maßnahmen gegen solche Angriffe. Der Report erklärt aktuelle Cyber-Bedrohungen, neue Gesetze und konkrete Schutzmaßnahmen – von Zugriffssteuerung über Patch‑Management bis zu Forensik‑Hinweisen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Wartet der Botnet auf seinen großen Auftritt?

Das eigentliche Ziel von SSHStalker ist unklar. Die Betreiber haben eine Armee von mindestens 7.000 kompromittierten Maschinen aufgebaut. Bislang haben sie diesen Zugang aber nicht über gängige Methoden wie Ransomware, DDoS-for-Hire oder Cryptomining monetarisiert.

Diese „ruhende Hartnäckigkeit“ unterscheidet ihn von typischen opportunistischen Botnets. Die aktuelle Phase könnte dem Aufbau und Test der Infrastruktur dienen. Möglicherweise warten die Operatoren auf eine kritische Masse infizierter Geräte, bevor sie einen koordinierten Angriff starten.

Die Existenz von SSHStalker ist eine deutliche Erinnerung: Selbst alte und gut verstandene Angriffstechniken bleiben eine potente Gefahr, wenn grundlegende Cybersicherheits-Hygiene vernachlässigt wird. Unternehmen sollten ihre Serverkonfigurationen umgehend überprüfen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.