Come riportato da ESET, i supercomputer sono minacciati in tutto il mondo dalla backdoor "Kobalos". L'accesso remoto offre ai criminali informatici opportunità senza precedenti.
I supercomputer con la loro enorme potenza di calcolo non dovrebbero finire nelle mani dei criminali: le conseguenze sarebbero fatali. Ma è esattamente quello che è successo secondo le scoperte fatte dai ricercatori ESET. Individui sconosciuti attaccano con successo i cosiddetti cluster HPC (Performance Computer) con la backdoor di Kobalos e ottengono un ampio accesso. Le vittime includono un importante ISP asiatico, un fornitore di sicurezza degli endpoint nordamericano e diversi server aziendali e governativi.
Attacco contro Linux, BSD e Solaris
Kobalos è stato sviluppato per Linux, BSD e Solaris. Anche i "normali" computer Linux vengono messi a fuoco. I frammenti di codice puntano alle porte per AIX e Windows. I ricercatori ESET hanno pubblicato ulteriori dettagli tecnici su Kobalos sul blog di sicurezza “welivesecurity.de”.
“Abbiamo chiamato questo malware Kobalos a causa delle sue minuscole dimensioni del codice e dei molti trucchi. Nella mitologia greca, un kobalos è una piccola creatura dispettosa", spiega Marc-Etienne Léveillé, che ha esaminato la porta sul retro. "Raramente abbiamo visto questo livello di sofisticazione nel malware Linux", aggiunge. ESET ha collaborato con il CERN Computer Security Team e altre organizzazioni coinvolte nella difesa dagli attacchi a queste reti di ricerca scientifica.
"Stabilire l'autenticazione a due fattori per la connessione ai server SSH può mitigare questo tipo di minaccia", afferma Thomas Uhlemann, specialista della sicurezza di ESET Germania. "L'utilizzo di credenziali rubate sembra essere uno dei modi in cui i criminali sono stati in grado di diffondersi in diversi sistemi utilizzando Kobalos."
Ecco come agisce Kobalos
Kobalos è una backdoor generica contenente comandi completi da parte di criminali per le loro attività illegali. Ad esempio, gli aggressori possono ottenere l'accesso remoto al file system, creare sessioni terminali e persino stabilire un contatto con altri server infettati da Kobalos tramite connessioni proxy.
Cosa rende unica la backdoor: il codice per eseguire Kobalos risiede sui server Command and Control (C&C). Qualsiasi server compromesso dal malware può essere trasformato in un'istanza C&C: l'attaccante deve solo inviare un singolo comando. Poiché gli indirizzi IP e le porte del server C&C sono codificati nell'eseguibile, gli hacker possono quindi generare nuovi campioni di Kobalos utilizzando questo nuovo server di comando.
Inoltre, il malware utilizza una chiave privata RSA a 512 bit e una password a 32 byte per rendere più difficile il rilevamento da parte delle soluzioni di sicurezza. La crittografia rende difficile scoprire e analizzare l'effettivo codice dannoso. I ricercatori ESET hanno pubblicato ulteriori dettagli tecnici su Kobalos.
Scopri di più su WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.