Conforme relatado pela ESET, os supercomputadores estão ameaçados em todo o mundo pelo backdoor "Kobalos". O acesso remoto oferece aos cibercriminosos oportunidades sem precedentes.
Supercomputadores com seu enorme poder de computação não deveriam cair nas mãos de criminosos - as consequências seriam fatais. Mas foi exatamente isso que aconteceu de acordo com as descobertas feitas pelos pesquisadores da ESET. Indivíduos desconhecidos atacam com sucesso os chamados clusters de computador de desempenho (HPC) com o backdoor Kobalos e obtêm amplo acesso. As vítimas incluem um grande ISP asiático, um provedor de segurança de terminais norte-americano e vários servidores corporativos e governamentais.
Ataque contra Linux, BSD e Solaris
Kobalos foi desenvolvido para Linux, BSD e Solaris. Computadores Linux “normais” também entram em foco. Fragmentos de código apontam para portas para AIX e Windows. Os pesquisadores da ESET publicaram mais detalhes técnicos sobre Kobalos no blog de segurança “welivesecurity.de”.
“Chamamos esse malware de Kobalos por causa de seu pequeno tamanho de código e muitos truques. Na mitologia grega, um kobalos é uma criatura pequena e travessa”, explica Marc-Etienne Léveillé, que examinou a porta dos fundos. "Raramente vimos esse nível de sofisticação em malware para Linux", acrescenta. A ESET trabalhou com a Equipe de Segurança de Computadores do CERN e outras organizações envolvidas na defesa contra ataques a essas redes de pesquisa científica.
"Estabelecer a autenticação de dois fatores para conectar-se a servidores SSH pode mitigar esse tipo de ameaça", diz Thomas Uhlemann, especialista em segurança da ESET Alemanha. “O uso de credenciais roubadas parece ser uma das maneiras pelas quais os criminosos conseguiram se espalhar para diferentes sistemas usando o Kobalos”.
É assim que Kobalos age
Kobalos é um backdoor genérico contendo comandos abrangentes de criminosos para suas atividades ilegais. Por exemplo, os invasores podem obter acesso remoto ao sistema de arquivos, criar sessões de terminal e até mesmo estabelecer contato com outros servidores infectados com Kobalos por meio de conexões proxy.
O que torna o backdoor único: O código para executar o Kobalos reside nos servidores de Comando e Controle (C&C). Qualquer servidor comprometido pelo malware pode se transformar em uma instância C&C – o invasor precisa apenas enviar um único comando. Como os endereços IP e as portas do servidor C&C são codificados no executável, os hackers podem gerar novas amostras Kobalos usando esse novo servidor de comando.
Além disso, o malware usa uma chave privada RSA de 512 bits e uma senha de 32 bytes para dificultar a detecção por soluções de segurança. A criptografia dificulta a descoberta e a análise do código malicioso real. Os pesquisadores da ESET publicaram mais detalhes técnicos sobre Kobalos.
Saiba mais em WeLiveSecurity em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.