Canonical hat ein Partnerprogramm mit Qualcomm Technologies gestartet. Der System-on-Chip-Hersteller und -Designer hat sich dabei dem Canonical-Silizium-Partnerprogramm angeschlossen.

Laut dem Content Delivery Network (CDN) Cloudflare setzen High-Performance Botnetzwerke mittlerweile bevorzugt auf gehackte Virtual Private Servers (VPS) statt wie bisher auf massenhaft gehackte IoT-Geräte (Internet of Things) wie Überwachungskameras oder Router.

Zwar hatte das einzelne IoT-Gerät nur eine sehr begrenzte Leistung und Durchsatz, doch in der Masse, mit Hunderttausenden oder gar Millionen Geräten, konnten leistungsfähige DDoS-Angriffe (Distributed Denial of Service) durchgeführt werden. Bei diesen Angriffen werden Webseiten beziehungsweise Server mit Anfragen überhäuft, bis sie unter der Last zusammenbrechen.

Eine neue Generation von Botnetzen verwende hingegen einen Bruchteil der Geräte, erklärt Cloudflare in einem Bericht. Genutzt würden leistungsfähige virtuelle Private Server in der Cloud, die beispielsweise von Start-ups oder Unternehmen für leistungsfähige Anwendungen genutzt werden.

Angreifer kompromittieren demnach ungepatchte Server oder können sich mit bekannt gewordenen APi-Anmeldeinformationen an den Verwaltungskonsolen anmelden. Um gegen solche kompromittierten VPS vorzugehen, arbeite Cloudflare mit etlichen Cloud-Anbietern zusammen, erklärt das Unternehmen. “Dank der schnellen Reaktion und der Sorgfalt der Cloud-Computing-Anbieter konnten große Teile dieser Botnets deaktiviert werden.”

Insgesamt hätten die DDoS-Angriffe im Vergleich zum letzten Quartal nicht zugenommen, im Vergleich zum Vorjahr sei aber ein Anstieg um 60 Prozent zu verzeichnen, erklärt Cloudflare. Insbesondere Rundfunk- und Fernsehanstalten sowie gemeinnützige Organisationen seien von den Angriffen betroffen. Dabei würde häufig auf Ransom-DDoS-Angriffe gesetzt, bei denen die Angreifer ein Lösegeld verlangen, um Angriffe zu stoppen oder weitere zu verhindern.

Der Beitrag Cloudflare: Botnetzwerke setzen auf gehackte VPS statt auf IoT erschien zuerst auf Linux-Magazin.

Forscher haben eine neue Linux-Malware entdeckt, die sich besonders gut tarnt. Dabei kann sie sowohl als Kryptominer oder Spionage-Werkzeug agieren.

Forscher von AT&T Alien Labs haben eine neue Linux-Malware entdeckt, die sich auf besondere Weise tarnt und es auf Internet-of-Things-Geräte (IoT) und Server abgesehen hat. So wird der Payload mehrfach encodiert und zur Kommunikation werden bekannte Clouddienste eingesetzt. Zuerst berichtete das Onlinemagazin Ars Technica.

“Bedrohungsakteure suchen immer wieder nach neuen Möglichkeiten, Malware zu verbreiten, um unter dem Radar zu bleiben und nicht entdeckt zu werden”, schreibt der Forscher Ofer Caspi von AT&T Alien Labs. “Die Malware verwendet den polymorphen XOR-Codierer Shikata Ga Nai mit additiver Rückkopplung, der zu den beliebtesten Encodern in Metasploit gehört. Mithilfe des Encoders durchläuft die Malware mehrere Dekodierschleifen, wobei eine Schleife die nächste Ebene dekodiert, bis die endgültige Shellcode-Payload dekodiert und ausgeführt wird.”

Das eigentliche Ziel der Schadsoftware bleibt jedoch unklar. Einerseits verwendet sie eine Kryptomining-Software, die unter anderem zu heimlichem Kryptojacking genutzt werden kann. Andererseits lädt die Shikitega jedoch das Metasploit-Paket Mettle herunter und führt es aus. Damit lassen sich beispielsweise die Webcam steuern oder Anmeldeinformationen stehlen. Zudem bündelt das Paket mehrere Reverse-Shells. Entsprechend dürfte es nicht das Einzige Ziel der Malware sein, heimlich Monero zu schürfen.

Um eine Entdeckung zu erschweren, setzen die Bedrohungsakteure auf legitime Clouddienste als Command-and-Control-Instanz. Die von dort erhaltenen Befehle sowie das Mettle-Paket werden zudem nicht auf der Festplatte beziehungsweise SSD gespeichert, sondern nur im Arbeitsspeicher vorgehalten.

Außerdem versucht die Schadsoftware über zwei bekannte Sicherheitslücken Root-Rechte zu erlangen. Hierzu setzt sie auf die Sicherheitslücke Pwnkit (CVE-2021-4034), die rund 12 Jahre im Linux-Kernel lauerte, ehe sie Anfang des Jahres gepatcht wurde.

Die zweite Sicherheitslücke zur Rechte-Ausweitung wurde bereits im April 2021 aufgedeckt und ebenfalls vor geraumer Zeit gepatcht. Allerdings dürften insbesondere Internet-of-Things-Geräte die Patches nicht selten noch nicht eingespielt haben. Persistenz erlangt die Malware über Crontab-Einträge.

Der Beitrag Neue Linux-Malware spielt verstecken erschien zuerst auf Linux-Magazin.

Canonical hat Ubuntu Core 22 veröffentlicht. Die containerisierte und für IoT- und Edge-Geräte optimierte Variante von Ubuntu basiert auf der Version 22.04 LTS.

Mit dem Echtzeit-Kernel von Ubuntu 22.04 LTS, der als Beta-Version verfügbar sei, biete Ubuntu Core 22 hohe Leistung und niedrige Latenzzeiten für Anwendungen in den Bereichen Industrie, Telekommunikation, Automotive und Robotik, verspricht Canonical. Die neue Version enthalte  einen vollständig preemptiblen Kernel. Mark Shuttleworth, CEO von Canonical ist überzeugt: “Mit dieser Version und dem Echtzeit-Kernel von Ubuntu sind wir bereit, die Vorteile von Ubuntu Core auf die gesamte Embedded-Welt auszuweiten.”

Ubuntu Core bietet zudem von Haus aus fortschrittliche Sicherheitsfunktionen, darunter sicheres Booten, vollständige Festplattenverschlüsselung, sichere Wiederherstellung und strikte Begrenzung des Betriebssystems und der Anwendungen.

Der Beitrag IoT: Canonical bringt Ubuntu Core 22 erschien zuerst auf Linux-Magazin.