Linux-botnet in het nauw gedreven en opgerold

Beveiligingsbedrijf ESET ontdekte het Linux-botnet eind 2014 en werkte samen met Estse autoriteiten om het botnet neer te halen. Het is onduidelijk hoe de malware in de eerste plaats is binnengekomen. ESET speculeert dat de botnetherders mogelijk al met backdoortrojans besmette systemen heeft gekocht van een andere malwarebende die voor de eerste infectie zorgt.

Update verwijdert C&C’s

Het beveiligingsbedrijf publiceerde vorig jaar over onderzoek (PDF) naar het botnet met daarin de mededeling dat de beveiligers een eigen command-and-control-server hadden toegevoegd. De malwarebeheerders brachten daarop een update uit waarmee alle C&C’s werden verwijderd, behalve degene die ze zelf onder controle hadden.

Dat was nog maar één IP-adres. In februari bemachtigden de beveiligers het domein van die C&C-server en lieten ze de communicatie van Linux-zombies naar hun eigen machines lopen. Het blijft een raadsel hoe de Linux-pc’s zijn besmet. Enkele exemplaren blijken via ongepatchte plugins van CMS’en te zijn veroverd, maar dat geldt niet voor de rest van de systemen.