Ein Forschungsteam des Max-Planck-Instituts für Informatik und der Technischen Universität Delft hat einen neuartigen Ansatz entwickelt, um weltweit kompromittierte Server zu identifizieren. Durch die Nutzung einer Eigenart des Secure Shell (SSH)-Protokolls konnten die Wissenschaftler über 16.000 infizierte Server bei Hosting-Anbietern, Unternehmen und Forschungseinrichtungen aufspüren. Diese Server waren durch Angriffe von bekannten Hackergruppen wie „teamtnt“, „mozi“ oder „fritzfrog“ kompromittiert, die Schwachstellen wie schwache Passwörter ausnutzen, um eigene SSH-Schlüssel zu installieren und dauerhaften Zugriff zu erlangen, ohne dass legitime Nutzer dies bemerken.
Das SSH-Protokoll ermöglicht verschlüsselte Verbindungen für sichere Dateiübertragungen oder Fernwartung. Die Forschenden nutzten den Authentifizierungsmechanismus, bei dem ein Client zunächst einen öffentlichen Schlüssel an den Server sendet, der prüft, ob dieser Schlüssel autorisiert ist. Sie versandten 52 bekannte Public Keys von früheren Angriffen an alle internetverbundenen SSH-Server. Antwortete ein Server mit einer Challenge auf einen dieser Schlüssel, war dies ein klarer Hinweis auf eine Kompromittierung. Diese Methode ermöglichte es, infizierte Systeme in großem Maßstab zu identifizieren, die oft mit Malware-Botnetzen verbunden waren.
Nach Benachrichtigung der betroffenen Netzwerkbetreiber sank die Zahl der kompromittierten Server deutlich, wie Folgeuntersuchungen zeigten. Laut Anja Feldmann vom Max-Planck-Institut ist der Ansatz schwer zu umgehen, da Angreifer für jedes kompromittierte System individuelle Schlüssel einsetzen müssten – ein operativ kaum machbarer Aufwand bei großen Botnetzen. Die Methode verwandelt die Strategie der Angreifer, sich langfristigen Zugang zu sichern, in ein zuverlässiges Signal zur Verteidigung.
Dieser Fortschritt stärkt die globale Internetsicherheit, da er eine effiziente Möglichkeit bietet, kompromittierte Server zu erkennen und Gegenmaßnahmen einzuleiten. Die Ergebnisse wurden auf dem 34th USENIX Security Symposium 2025 vorgestellt und verdeutlichen, wie bestehende Protokolle kreativ genutzt werden können, um Cyberangriffe zu bekämpfen.
