Das Pinguin-Betriebssystem hat unter Sicherheitsexperten einen guten Ruf. Aber ist der eigentlich noch gerechtfertigt? In letzter Zeit häufen sich Meldungen über Angriffe auf Linux-Systeme.

Der erste Linux-Virus wurde schon 1996 entdeckt, da war Linux gerade mal fünf Jahre alt. Lange galten Linux-Viren aber als exotische und im Grunde ungefährliche Experimente. Das hat sich spätestens mit Mirai geändert. Mirai nutzte 2016 schlecht gesicherte IoT-Geräte für einen der größten DDoS-Angriffe überhaupt. Und im aktuellen Kalenderjahr steht Linux mehr und mehr unter Beschuss.

 

Am 25.02.2020 berichtete die Firma Sophos über “Cloud Snooper“, eine Linux-Malware, die Firewalls umgehen kann. Dabei reisen die Kommunikationspakete der Angreifer huckepack auf regulärem Web-Traffic und sind so getarnt.

Am 25. März dann enthüllte Blackberry einen Linux-Angriff, der schon seit zehn Jahren unbemerkt abläuft. Unter dem Titel “Decade of the RATs” berichtet die Firma über Remote Access Trojaner, kurz “RATs”, mit denen chinesische Akteure Industriespionage im großen Stil betreiben. Dem Bericht zufolge haben fünf verschiedene Gruppen von Angreifern gemeinsam jahrelang Linux-Server geknackt und ausgeforscht. Zu den Angriffswerkzeugen gehören Rootkits, die extrem schwer zu entdecken sind.

28.05.2020: GitHub gibt bekannt, dass eine Malware es geschafft hat, sich in die Open-Source-Plattform einzuschleichen und dort etliche Projekte zu infizieren. Der sogenannte Octopus Scanner greift Windows, Linux und MacOS an.

Am 04.06.2020 erscheint wieder eine Meldung von Blackberry. Diesmal haben die Sicherheitsforscher eine Ransomware gefunden, die vor allem Bildungseinrichtungen und Softwarefirmen ins Visier nimmt. Die Tycoon genannte Schadsoftware befällt Linux- wie Windows-Systeme gleichermaßen.

Am 27.07.2020 meldet Trendmicro eine Webshell, die sich nebenbei als Verschlüsselungs-Trojaner betätigt: Ensiko.

Und am 13.08.2020 warnen NSA und FBI gemeinsam vor einem Linux-Rootkit namens Drovorub. Dieses Rootkit ist aber kein Angriffswerkzeug im eigentlichen Sinne. Drovorub kann keine Linux-Systeme von außen infizieren. Hat der Angreifer jedoch auf anderem Weg Admin-Zugang zu einem Linux-Server gefunden, kann er sich dort mit Drovorub dauerhaft und unerkannt etablieren. Das ist jedoch kein Grund, sich beruhigt zurückzulehnen. Warum gibt es denn Dvororub? Doch offensichtlich nur, weil Angreifer hinreichend oft Linux-Systeme knacken können! Sonst würde sich die aufwändige und langwierige Entwicklung eines Tools wie Dvororub nicht lohnen.

Ist Linux also immer noch sicher? Die Frage ist falsch gestellt, weil sie Absolutheit suggeriert: Als könne ein System nur “sicher” oder “unsicher” sein. Absolute Sicherheit gibt es jedoch nirgends. Das relative Sicherheits-Niveau eines gut administrierten Linux-Systems ist aber trotz aller Angriffe weiterhin hoch. Ein aktuelles System mit sorgfältig konfigurierten Benutzerrechten setzt Angreifern schon einige Hürden entgegen. Virtualisierungs- und Sandboxing-Techniken erhöhen die Schutzwälle zusätzlich. Aber sich in Sicherheit zu wiegen, nur weil man Linux einsetzt: Das ist definitiv ein gefährlicher Trugschluss!