Bij een cyberaanval op mediabedrijven en banken in Zuid-Korea is malware gebruikt die zowel Windows- als Linux-pc's op de korrel neemt. De malware installeert een dropper met een onderdeel dat verbonden Linux-machines zoekt en probeert te besmetten, zo meldt beveiligingsbedrijf Symantec dat de aanval aan het onderzoeken is.

Multi-OS wiper

“Normaal gesproken zien we geen componenten die werken op meerdere besturingssystemen, dus het is interessant om te zien dat de aanvallers bij een Windows-aanval een onderdeel hebben toegevoegd om Linux-machines te wissen", schrijven Symantec-onderzoekers op het blog van het security-bedrijf.

Het gaat om een zogenoemde wiper, een trojan die bestandssystemen wist. Vorig jaar doken voor het eerst deze nakomelingen van supermalware Flame op, in de vorm van de malware Wiper die flink huishield in West-Azië en Shamoon, dat energiebedrijven in het Midden-Oosten bedreigde door de MBR van Windows-machines te verwijderen.

Module verwijdert Linux-mappen

De module in de trojan controleert of gebruikers van Windows 7 of Windows XP de applicatie mRemote draaien, een remote desktop-programma waarmee gebruikers ook Linux-pc's kunnen beheren. De malware zoekt naar een bestandspad dat aangeeft dat mRemote is geïnstalleerd en scant vervolgens naar verbindingen met root-rechten via SSH.

De trojan reist dan als zogenaamde printerapplicatie naar het systeem, dat volgens Symantec elke willekeurige Linux-distro kan zijn. Eenmaal genesteld, verwijdert het programma de mappen /kernel, /usr, /etc en /home. Bij Windows-pc's wordt, net als bij eerdere wiper-varianten, de Master Boot Record (MBR) gewist.

Netwerk platgelegd

De APT van gisteren legde verschillende mediabedrijven in Zuid-Korea plat. Er loopt momenteel onderzoek naar de bron van de hack en de sporen leiden tot nu toe naar Chinese IP-adressen. De netwerkverbindingen van de getroffen bedrijven gingen onderuit, maar dat lijkt niet het gevolg te zijn van de malware, maar door de aanval eromheen, zo meldt Ars Technica.