Según lo informado por ESET, las supercomputadoras están amenazadas en todo el mundo por la puerta trasera "Kobalos". El acceso remoto brinda a los ciberdelincuentes oportunidades sin precedentes.
Las supercomputadoras con su enorme poder de cómputo no deberían caer en manos de delincuentes, las consecuencias serían fatales. Pero eso es exactamente lo que sucedió según los descubrimientos realizados por los investigadores de ESET. Personas desconocidas atacan con éxito los llamados clústeres de computadoras de rendimiento (HPC) con la puerta trasera de Kobalos y obtienen un amplio acceso. Las víctimas incluyen un importante ISP asiático, un proveedor de seguridad de punto final de América del Norte y varios servidores corporativos y gubernamentales.
Ataque contra Linux, BSD y Solaris
Kobalos fue desarrollado para Linux, BSD y Solaris. Las computadoras Linux "normales" también se enfocan. Los fragmentos de código apuntan a puertos para AIX y Windows. Los investigadores de ESET han publicado más detalles técnicos sobre Kobalos en el blog de seguridad “welivesecurity.de”.
“Llamamos a este malware Kobalos debido a su pequeño tamaño de código y muchos trucos. En la mitología griega, un kobalos es una criatura pequeña y traviesa”, explica Marc-Etienne Léveillé, que examinó la puerta trasera. "Rara vez hemos visto este nivel de sofisticación en el malware de Linux", agrega. ESET ha trabajado con el equipo de seguridad informática del CERN y otras organizaciones involucradas en la defensa contra ataques a estas redes de investigación científica.
"Establecer autenticación de dos factores para conectarse a servidores SSH puede mitigar este tipo de amenazas", dice Thomas Uhlemann, especialista en seguridad de ESET Alemania. "El uso de credenciales robadas parece ser una de las formas en que los delincuentes han podido propagarse a diferentes sistemas usando Kobalos".
Así actúa Kobalos
Kobalos es una puerta trasera genérica que contiene comandos integrales de los delincuentes para sus actividades ilegales. Por ejemplo, los atacantes pueden obtener acceso remoto al sistema de archivos, crear sesiones de terminal e incluso establecer contacto con otros servidores infectados con Kobalos a través de conexiones proxy.
Lo que hace que la puerta trasera sea única: el código para ejecutar Kobalos reside en los servidores de Comando y Control (C&C). Cualquier servidor comprometido por el malware puede convertirse en una instancia de C&C: el atacante solo necesita enviar un único comando. Dado que las direcciones IP y los puertos del servidor C&C están codificados en el ejecutable, los piratas informáticos pueden generar nuevas muestras de Kobalos utilizando este nuevo servidor de comandos.
Además, el malware utiliza una clave privada RSA de 512 bits y una contraseña de 32 bytes para dificultar la detección por parte de las soluciones de seguridad. El cifrado dificulta descubrir y analizar el código malicioso real. Los investigadores de ESET han publicado más detalles técnicos sobre Kobalos.
Más información en WeLiveSecurity en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.