Comme le rapporte ESET, les supercalculateurs sont menacés dans le monde entier par la porte dérobée "Kobalos". L'accès à distance offre aux cybercriminels des opportunités sans précédent.
Les superordinateurs avec leur énorme puissance de calcul ne devraient pas tomber entre les mains de criminels - les conséquences seraient fatales. Mais c'est exactement ce qui s'est passé selon les découvertes faites par les chercheurs d'ESET. Des inconnus attaquent avec succès les clusters dits d'ordinateurs de performance (HPC) avec la porte dérobée Kobalos et obtiennent un accès étendu. Les victimes comprennent un important FAI asiatique, un fournisseur nord-américain de sécurité des terminaux et plusieurs serveurs d'entreprise et gouvernementaux.
Attaque contre Linux, BSD et Solaris
Kobalos a été développé pour Linux, BSD et Solaris. Les ordinateurs Linux "normaux" entrent également en ligne de compte. Les fragments de code pointent vers des ports pour AIX et Windows. Les chercheurs d'ESET ont publié d'autres détails techniques sur Kobalos sur le blog de sécurité « welivesecurity.de ».
« Nous avons nommé ce malware Kobalos en raison de sa petite taille de code et de ses nombreuses astuces. Dans la mythologie grecque, un kobalos est une petite créature espiègle », explique Marc-Etienne Léveillé, qui a examiné la porte dérobée. "Nous avons rarement vu ce niveau de sophistication dans les logiciels malveillants Linux", ajoute-t-il. ESET a travaillé avec l'équipe de sécurité informatique du CERN et d'autres organisations impliquées dans la défense contre les attaques sur ces réseaux de recherche scientifique.
"L'établissement d'une authentification à deux facteurs pour la connexion aux serveurs SSH peut atténuer ce type de menace", déclare Thomas Uhlemann, spécialiste de la sécurité chez ESET Allemagne. "L'utilisation d'informations d'identification volées semble être l'une des façons dont les criminels ont pu se propager à différents systèmes en utilisant Kobalos."
C'est ainsi que Kobalos agit
Kobalos est une porte dérobée générique contenant des commandes complètes de criminels pour leurs activités illégales. Par exemple, les attaquants peuvent accéder à distance au système de fichiers, créer des sessions de terminal et même établir un contact avec d'autres serveurs infectés par Kobalos via des connexions proxy.
Ce qui rend la porte dérobée unique : le code pour exécuter Kobalos réside sur les serveurs de commande et de contrôle (C&C). Tout serveur compromis par le logiciel malveillant peut être transformé en une instance C&C - l'attaquant n'a qu'à envoyer une seule commande. Étant donné que les adresses IP et les ports du serveur C&C sont codés en dur dans l'exécutable, les pirates peuvent alors générer de nouveaux échantillons de Kobalos à l'aide de ce nouveau serveur de commandes.
De plus, le logiciel malveillant utilise une clé privée RSA de 512 bits et un mot de passe de 32 octets pour rendre la détection par les solutions de sécurité plus difficile. Le cryptage rend difficile la découverte et l'analyse du code malveillant réel. Les chercheurs d'ESET ont publié plus de détails techniques sur Kobalos.
En savoir plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.