Backdoor Kobalos zielt auf Supercomputer

Eset_News
Anzeige

Beitrag teilen

Wie ESET berichtet sind Supercomputer weltweit von Backdoor „Kobalos“ bedroht. Fernzugriff ermöglicht Cyberkriminellen ungeahnte Möglichkeiten. 

Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen – die Folgen wären fatal. Doch genau dies ist nach Entdeckungen von ESET-Forschern passiert. Unbekannte greifen mit der Backdoor Kobalos sogenannte Performance Computer (HPC)-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.

Anzeige

Attacke gegen Linux, BSD und Solaris

Kobalos wurde für Linux, BSD und Solaris entwickelt. Auch „normale“ Linux-Rechner geraten in den Fokus. Codefragmente deuten auf Portierungen für AIX und Windows hin. Weitere technische Details zu Kobalos haben die ESET-Forscher auf dem Security-Blog „welivesecurity.de“ veröffentlicht.

„Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen“, erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. „Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen“, fügt er hinzu. ESET hat mit dem CERN Computer Security Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf diese wissenschaftlichen Forschungsnetzwerke beteiligt sind.


„Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen“, sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. „Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten.“

So agiert Kobalos

Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. So erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.

Was die Backdoor einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern (kurz: C&C). Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden – der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.

Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.  Weitere technische Details zu Kobalos haben die ESET-Forscher veröffentlicht.

Mehr dazu bei WeLiveSecurity auf ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen

Vulnerability Management erstellt Cyber Insurance Report

Nutzer eines Tenable Vulnerability Management-Konto können ab sofort einen Cyber Insurance Report für ihren Cyberversicherungsanbieter erstellen. Das erleichtert die Versicherbarkeit hilft ➡ Weiterlesen