SSHStalker: Botnetz nutzt alte Linux-Lücken für verdeckte Kontrolle : Internet Relay Chat dient als Kommandozentrale für langfristige Systemzugriffe
Ein neu entdecktes Botnetz zeigt, wie gefährlich vergessene Altlasten in Linux-Umgebungen bleiben. Statt auf moderne Exploits setzt die Kampagne auf alte Kernel-Schwachstellen, kombiniert sie mit verdeckter Persistenz und baut so unauffällig eine Infrastruktur für mögliche spätere Angriffe auf. Sicherheitsforscher sehen darin ein strategisches Vorgehen mit langem Atem.
Cybersecurity-Analysen von Flare beschreiben ein Werkzeugset, das „Log-Bereiniger wie utmp, wtmp oder lastlog tampering mit Linux-Exploits aus der Ära 2009 bis 2010 kombiniert“. Diese Schwachstellen seien zwar für moderne Systeme wenig relevant, blieben jedoch „gegen vergessene Infrastruktur und langlebige Altumgebungen wirksam“.
Automatisierte Kompromittierung über Internet Relay Chat
Das Botnetz mit der Bezeichnung SSHStalker verbindet klassische Mechaniken eines Internet-Relay-Chat (IRC)-gesteuerten Botnetzes mit automatisierter Massenkompromittierung. Ein in Golang entwickelter Scanner sucht gezielt nach offenen Secure-Shell-Zugängen über Port 22 und breitet sich wurmartig weiter aus.
Nach erfolgreicher Infektion werden mehrere Schadkomponenten installiert, darunter Varianten eines über IRC gesteuerten Bots sowie ein in Perl geschriebener Dateibot, der sich mit einem UnrealIRCd-Server verbindet, einem Kontrollkanal beitritt und auf Befehle wartet.
Auffällig ist, dass kompromittierte Systeme zunächst keine weiteren Aktivitäten zeigen. Dieses ruhende Verhalten deutet darauf hin, dass die Infrastruktur für Staging, Tests oder strategische Zugriffssicherung vorbereitet wird.
Tarnung, Persistenz und alte Kernel-Schwachstellen
Zur Verschleierung führt die Schadsoftware Programme in der Programmiersprache C aus, die Protokolle von Secure-Shell-Verbindungen bereinigen und forensische Spuren entfernen. Zusätzlich sorgt eine Keep-Alive-Komponente dafür, dass der Hauptprozess innerhalb von 60 Sekunden neu gestartet wird, falls Sicherheitswerkzeuge ihn beenden.
Der Exploit-Katalog umfasst 16 Linux-Kernel-Schwachstellen aus den Jahren 2009 und 2010, darunter:
- CVE-2009-2692
- CVE-2009-2698
- CVE-2010-3849
- CVE-2010-1173
- weitere historische Kernel-Lücken
Die Untersuchung der Infrastruktur zeigte zudem ein umfangreiches Arsenal frei verfügbarer Angriffsprogramme, darunter:
- Rootkits zur Tarnung und Persistenz
- Kryptowährungs-Miner
- Python-Skripte zum Diebstahl offengelegter Zugangsdaten von Amazon Web Services
- EnergyMech, ein IRC-Bot für Fernsteuerung und Befehlsausführung
Hinweise auf erfahrene Angreiferstrukturen
Sprachmuster und Benennungen innerhalb der IRC-Kanäle deuten auf einen möglichen rumänischen Ursprung hin. Gleichzeitig zeigen operative Merkmale Überschneidungen mit der bekannten Gruppe Outlaw.
„SSHStalker konzentriert sich offenbar nicht auf neue, bislang unbekannte Exploits. Stattdessen zeigt die Operation vor allem eine sehr kontrollierte und eingespielte Umsetzung bestehender Techniken. Für den Kern des Bots und systemnahe Funktionen wird überwiegend die Programmiersprache C genutzt, während Shell-Skripte die Steuerung und dauerhafte Verankerung übernehmen. Python und Perl kommen nur ergänzend für Hilfsaufgaben, Automatisierungsschritte innerhalb der Angriffskette und den Betrieb des IRC-Bots zum Einsatz“, so Flare.
Damit verdeutlicht SSHStalker ein zentrales Risiko moderner IT-Landschaften: Nicht nur neue Schwachstellen sind gefährlich, sondern vor allem vergessene Systeme, fehlende Updates und unterschätzte Altinfrastruktur. Gerade diese bilden weiterhin eine verlässliche Grundlage für langfristig angelegte Botnetz-Operationen.