ESET Les chercheurs ont publié des informations détaillées sur un nouveau virus nommé d’après l’esprit mythologique grec Kobalos. Après une analyse approfondie et une recherche de données, ESET a constaté que les ordinateurs haute performance (HPC) de Kobalo battent les réseaux universitaires et de recherche.

Ce malware cible également les serveurs Web avec des clusters hautement fonctionnels et de nombreuses informations chiffrées. Le code malveillant accorde un accès à distance au système et crée des sessions de terminal avec d’autres serveurs infectés par Kobalos.

Selon l’équipe de sécurité informatique du CERN, les logiciels malveillants et les techniques utilisées dans ces attaques sont différents de tous les virus connus. La principale menace pour la sécurité est l’incapacité de la plupart des administrateurs à détecter et supprimer les logiciels malveillants en raison du code obscurci. Cependant, après une analyse approfondie de Kobalos, les experts en cybersécurité ont déterminé qu’il était possible de déterminer si un système Kobalos était attaqué en se connectant au serveur SSH via un port source TCP spécifique.

Identifiants volés

Le fichier / usr / bin / ssh est remplacé par un exécutable modifié qui collecte les noms d’utilisateur, les mots de passe et les noms d’hôte cible, puis écrit ces données dans un fichier chiffré. Les pirates utilisent plus tard des informations d’identification volées pour installer Kobalos sur les serveurs cibles. Pour éviter d’être piraté, les administrateurs doivent définir l’authentification multifacteur (MFA) pour accéder aux serveurs SSH.

Algorithme de Kobalos

Kobalos a un code intégré pour démarrer et configurer un serveur C&C. Le virus est une porte dérobée semi-générique. Il utilise des techniques spéciales pour ne pas révéler les hackers ou leurs intentions. Kobalos accorde un accès à distance au système afin que les attaquants puissent créer des sessions de terminal. Le malware peut également se connecter via Serveur proxy à tous les serveurs infectés.

Méthodes de connexion

Kobalos est intégré dans le fichier exécutable du serveur OpenSSH et lance le code malveillant lorsque la connexion provient d’un certain port TCP. Cependant, il a et peut utiliser d’autres variantes de connectivité qui n’affectent pas le code sshd intégré. Les tactiques les plus couramment utilisées par Kobalos sont les suivantes:

  • Connectez-vous à un serveur C&C qui agira en tant que conducteur.
  • Connexion entrante sur un port TCP spécifique.

En cas d’infection par Kobalos, chaque serveur peut servir de serveur Command & Control et en même temps de magasin de données. Même si les adresses IP et les proxys sont initialement codés en dur et chiffrés, les opérateurs Kobalos peuvent créer et générer de nouveaux serveurs C&C qui utilisent les données d’ordinateurs nouvellement infectés.

Technologie sophistiquée pour voler les informations d’identification

Comme indiqué par les experts d’ESET, toute personne qui utilise le client SSH sur un ordinateur compromis se verra voler ses informations d’identification. Cette méthode de vol de données personnelles est différente de tout autre client OpenSSH malveillant connu auparavant. Les hackers obtiennent progressivement une base de données complète de toutes les personnes enregistrées.

La sophistication de cette méthode réside dans l’incapacité de suivre les adresses IP et les serveurs d’où proviennent les attaques. Il n’y a rien de tout à fait comme les méthodes précédentes de vol d’informations d’identification. Par exemple, les chaînes ne sont pas chiffrées et les noms d’utilisateur et les mots de passe volés sont simplement écrits dans un fichier du disque dur.

Kobalos est écrit pour Linux, mais sa version légèrement modifiée peut Infecter Mac Les systèmes aussi. La plupart du code est créé à l’aide d’un algorithme de codage de fonction unique. En conséquence, le virus peut effectuer des sous-tâches et créer un environnement de code de chaîne interconnecté. De plus, toutes les chaînes et tous les liens sont chiffrés, ce qui rend la réparation et la suppression plus difficiles.

Une clé privée RSA de 512 bits et un mot de passe de 32 octets sont nécessaires pour utiliser la porte dérobée. Après authentification, les clés RC4 sont échangées et le reste de la communication est crypté à l’aide de l’algorithme de chaîne agile. De plus, les connexions se font de manière chaotique.

Comment reconnaître le malware?

Au niveau du réseau, il est possible d’identifier le malware Kobalos en séparant le trafic non SSH sur le port attribué à un serveur SSH. Chaque fois que ce virus communique avec un opérateur, il n’y a pas d’échange de bannière SSH, ni du serveur ni du client.

Encore une fois, il est fortement recommandé d’utiliser Authentification multifactorielle pour se connecter aux serveurs SSH. MFA aide à atténuer la menace car, dans la plupart des cas, ce malware utilise des informations d’identification volées pour les pousser vers de nouveaux serveurs et systèmes.

Dernières pensées

Les intentions des opérateurs de Kobalos restent un mystère. Aucune souche de virus autre que SSH Private Data Stealer n’a été trouvée par les administrateurs système sur les ordinateurs infectés. Le protocole utilisé par Kobalos est étroitement emballé dans un code de fonction unique. Ce virus est vraiment une menace difficile à détecter et à tuer.

Les ordinateurs hautes performances, ou simplement les supercalculateurs, doivent être parfaitement protégés. Nouveau Études exposent de plus en plus de menaces pouvant causer de graves problèmes. Espérons que les chercheurs créent la bonne protection contre les Kobalos. Toutes vos connaissances et commentaires sur ce sujet sont les bienvenus. Sécurisez vos données avec des mises à jour logicielles constantes et à l’aide de l’authentification multifacteur.





Source link

Recent Posts