Onderzoekers van securitybedrijf Chronicle, dat onderdeel van Alphabet is, hebben een Linux-versie van de Winnti-malware ontdekt. Winnti is malware die bij gerichte aanvallen is ingezet en cyberspionage als doel heeft. Farmaconcern Bayer werd door de malware getroffen, alsmede staalgigant ThyssenKrupp.
De malware zou ook zijn gebruikt bij softwarebedrijf TeamViewer en verschillende Aziatische gameontwikkelaars. De aanvallers wisten daar in te breken en legitieme gesigneerde games en een gamingplatform-app van een backdoor te voorzien. In 2015 maakte een Vietnamees securitybedrijf melding dat een gamingbedrijf door de malware was getroffen. Bij het onderzoek naar deze melding ontdekten onderzoekers van Chronicle de Linux-versie van de Winnti-malware.
Die blijkt uit twee bestanden te bestaan, een backdoor en een library. Verder vonden de onderzoekers indicatoren voor drie verschillende campagnes waarbij de Linux-versie zou zijn ingezet. Welke organisaties door de malware besmet zijn geraakt laten de onderzoekers niet weten. Ze merken op dat mogelijk is om een grote internetscan naar besmette systemen uit te voeren, maar dat de resultaten waarschijnlijk alleen een subset zijn van systemen die direct via internet toegankelijk zijn en bijvoorbeeld geen interne systemen.
De onderzoekers van Chronicle merken op dat de aanvallers herhaaldelijk hun expertise hebben gedemonstreerd in het compromitteren van Windows-gebaseerde omgevingen. Dat ze nu ook naar Linux-malware grijpen kan erop duiden dat aan te vallen organisaties van Linux gebruikmaken of dat ze proberen te profiteren van een blinde vlek binnen organisaties als het om security-telemetrie gaat. Naast details over de malware hebben de onderzoekers ook verschillende indicatoren vrijgegeven waarmee organisaties kunnen kijken of ze besmet zijn geraakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.