Wenn Malware sich in den Schatten schleicht
Sicherheitsforscher von Nextron Systems haben eine neue Linux-Malware entdeckt, die sie Plague nennen. Sie ist so gut versteckt, dass sie über ein Jahr lang unentdeckt blieb.
Die Tarnung als Teil des Systems
Sie tarnt sich nicht als klassische Malware-Datei oder auffälliges Binary, sondern als PAM-Modul. Wer mit Linux arbeitet, weiß, wie tief diese Module ins Authentifizierungssystem eingreifen können. PAM ist für alles rund um die Anmeldung zuständig, und wenn dort jemand manipuliert, kann er sich theoretisch Zugriff verschaffen, ohne dass es jemand merkt. Genau das macht Plague. Sie klinkt sich in die Benutzeranmeldung ein und ermöglicht es Angreifern, sich per SSH ins System einzuloggen, ohne ein legitimes Passwort zu benötigen.
Monatelang unsichtbar
Was diese Entdeckung so beunruhigend macht, ist nicht nur die Funktionsweise, sondern auch die Tatsache, dass Plague offenbar schon seit Sommer 2024 im Umlauf ist. Hinweise auf VirusTotal legen nahe, dass die Malware dort bereits vor Monaten hochgeladen wurde. Und trotzdem hat kein einziger Virenscanner angeschlagen. Das ist nicht nur ein technisches Problem, sondern ein massives Versagen der bisherigen Schutzsysteme.
Spuren verwischen als Grundfunktion
Sie ist nicht einfach nur getarnt – sie wurde mit dem Ziel entwickelt, sich gezielt der Analyse zu entziehen. Sie löscht Spuren, verbirgt ihre Aktivitäten und hinterlässt so wenige Anhaltspunkte wie möglich. Es gibt außerdem mehrere Versionen der Malware, die auf unterschiedlichen Systemen kompiliert wurden. Das deutet stark auf eine aktive Weiterentwicklung hin. Hier handelt es sich nicht um ein veraltetes Einweg-Tool, sondern um ein Werkzeug, das offenbar kontinuierlich verbessert wird.
Wie kommt Plague überhaupt ins System
Die Forscher konnten nicht mit Sicherheit sagen, wie die Malware verbreitet wird. Vermutlich erfolgt die Infektion über Sicherheitslücken oder kompromittierte Zugangsdaten. Klar ist nur, dass Plague manuell installiert werden muss. Es handelt sich also um eine gezielte Attacke – kein Massenphänomen. Wahrscheinlich sind ganz bestimmte Systeme oder Organisationen im Visier.
Der Zugriff bleibt bestehen
Ein besonders kritischer Aspekt ist der Umgang mit Zugangsdaten. In mehreren Varianten der Malware waren hartkodierte Passwörter eingebaut. Damit können Angreifer auch lange nach der Erstinfektion wieder auf das System zugreifen. Selbst wenn die ursprüngliche Lücke geschlossen ist oder der Angreifer scheinbar verschwunden ist, bleibt die Hintertür offen. Ein sauberer Server ist also nicht automatisch ein sicherer Server.
Was jetzt zu tun ist
Im Blog von Nextron Systems finden sich einige technische Details zur Erkennung der Malware. Admins, die PAM-Module bisher als sicher angenommen haben, sollten spätestens jetzt skeptisch werden. Wer ungewöhnliches Verhalten bei der SSH-Authentifizierung bemerkt oder PAM-Dateien sieht, die nicht zur Standardinstallation gehören, sollte sofort genauer hinsehen. Es ist gut möglich, dass mehr Systeme betroffen sind, als wir bisher ahnen.
Fazit einer stillen Infiltration
Plague ist ein Paradebeispiel dafür, wie ausgeklügelt moderne Malware sein kann. Die Zeit plumper Viren, die im Taskmanager auftauchen oder vom Virenscanner sofort erkannt werden, ist längst vorbei. Heute geht es um Tarnung, Täuschung und Kontrolle im Verborgenen. Plague hat all das perfektioniert und zeigt uns, wie verletzlich selbst gut gehärtete Linux-Systeme sein können.
© stock.adobe.com, Laura Primo