Backdoor Kobalos zielt auf Supercomputer

Eset_News

Beitrag teilen

Wie ESET berichtet sind Supercomputer weltweit von Backdoor „Kobalos“ bedroht. Fernzugriff ermöglicht Cyberkriminellen ungeahnte Möglichkeiten. 

Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen – die Folgen wären fatal. Doch genau dies ist nach Entdeckungen von ESET-Forschern passiert. Unbekannte greifen mit der Backdoor Kobalos sogenannte Performance Computer (HPC)-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.

Attacke gegen Linux, BSD und Solaris

Kobalos wurde für Linux, BSD und Solaris entwickelt. Auch „normale“ Linux-Rechner geraten in den Fokus. Codefragmente deuten auf Portierungen für AIX und Windows hin. Weitere technische Details zu Kobalos haben die ESET-Forscher auf dem Security-Blog „welivesecurity.de“ veröffentlicht.

„Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen“, erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. „Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen“, fügt er hinzu. ESET hat mit dem CERN Computer Security Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf diese wissenschaftlichen Forschungsnetzwerke beteiligt sind.

„Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen“, sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. „Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten.“

So agiert Kobalos

Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. So erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.

Was die Backdoor einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern (kurz: C&C). Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden – der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.

Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.  Weitere technische Details zu Kobalos haben die ESET-Forscher veröffentlicht.

Mehr dazu bei WeLiveSecurity auf ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Forensik realer Cyberangriffe lüftet Taktiken der Angreifer

Detaillierte Untersuchung der vom Sophos Incident Response Team übernommen Fälle macht deutlich, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

In Post-Quanten-Kryptografie investieren

Schon jetzt setzt Google in seiner aktuellsten Version des Chrome Browsers auf ein quantensicheres Verschlüsselungsverfahren (Post-Quanten-Kryptografie). Unternehmen sollten das ebenfalls ➡ Weiterlesen

Veraltete Systeme: Cyberangriffe auf Gesundheitseinrichtungen

Weltweit waren 78 Prozent der Gesundheitseinrichtungen im letzten Jahr von Cybervorfällen betroffen. Jeder vierte Cyberangriff auf Gesundheitseinrichtungen in Deutschland hat ➡ Weiterlesen

Report: Weltweiter Anstieg der Cyber-Angriffe

Stärkster Anstieg von Cyber-Angriffen in den letzten zwei Jahren. Lockbit3 ist der Spitzenreiter unter den Ransomwares in der ersten Jahreshälfte ➡ Weiterlesen