In un rapporto pubblicato di recente, I ricercatori di sicurezza "ESET" hanno analizzato un malware Era principalmente rivolto a computer ad alte prestazioni (HPC), università e server di rete per la ricerca.
Utilizzando il reverse engineering, ha scoperto che una nuova backdoor prende di mira i supercomputer di tutto il mondo, spesso rubando credenziali per connessioni di rete protette utilizzando una versione infetta del software OpenSSH.
“Abbiamo decodificato questo malware piccolo ma complesso, che è portabile su molti sistemi operativi, inclusi Linux, BSD e Solaris.
Alcuni artefatti rilevati durante la scansione indicano che potrebbero esserci variazioni anche per i sistemi operativi AIX e Windows.
Chiamiamo questo malware Kobalos per via delle piccole dimensioni del suo codice e dei suoi numerosi trucchi ",
“Abbiamo lavorato con il team di sicurezza informatica del CERN e altre organizzazioni coinvolte nella lotta contro gli attacchi alle reti di ricerca scientifica. Secondo loro, l'uso del malware Kobalos è innovativo "
OpenSSH (OpenBSD Secure Shell) è un insieme di strumenti informatici gratuiti che consentono comunicazioni sicure su una rete di computer utilizzando il protocollo SSH. Crittografa tutto il traffico per eliminare il dirottamento della connessione e altri attacchi. Inoltre, OpenSSH fornisce vari metodi di autenticazione e sofisticate opzioni di configurazione.
A proposito di Kobalos
Secondo gli autori di quel rapporto, Kobalos non si rivolge esclusivamente agli HPC. Sebbene molti dei sistemi compromessi lo fossero supercomputer e server nel mondo accademico e nella ricerca, Anche un provider di Internet in Asia, un provider di servizi di sicurezza in Nord America e alcuni server personali sono stati compromessi da questa minaccia.
Kobalos è una backdoor generica, poiché contiene comandi che non rivelano le intenzioni degli hacker, oltre a consente l'accesso remoto al file system, offre la possibilità di aprire sessioni di terminale e consente connessioni proxy ad altri server infettati da Kobalos.
Sebbene il design di Kobalos sia complesso, la sua funzionalità è limitata e quasi interamente relativo all'accesso nascosto attraverso una porta sul retro.
Una volta completamente implementato, il malware concede l'accesso al file system del sistema compromesso e consente l'accesso a un terminale remoto che offre agli aggressori la possibilità di eseguire comandi arbitrari.
Modalità operativa
In un modo, il malware agisce come un impianto passivo che apre una porta TCP su una macchina infetta e in attesa di una connessione in entrata da un hacker. Un'altra modalità consente al malware di trasformare i server di destinazione in server di comando e controllo (CoC) a cui si connettono altri dispositivi infetti da Kobalos. Le macchine infette possono anche essere utilizzate come proxy per la connessione ad altri server compromessi da malware.
Una caratteristica interessante Ciò che distingue questo malware è questo il tuo codice è racchiuso in una singola funzione e ricevi solo una chiamata dal codice OpenSSH legittimo. Tuttavia, ha un flusso di controllo non lineare, che chiama in modo ricorsivo questa funzione per eseguire attività secondarie.
I ricercatori hanno scoperto che i client remoti hanno tre opzioni per la connessione a Kobalos:
- Apri una porta TCP e attendi una connessione in entrata (a volte chiamata "backdoor passiva").
- Connettiti a un'altra istanza Kobalos configurata per fungere da server.
- Aspettatevi connessioni a un servizio legittimo che è già in esecuzione, ma proviene da una porta TCP di origine specifica (infezione del server OpenSSH in esecuzione).
Sebbene esistono diversi modi in cui gli hacker possono raggiungere una macchina infetta con Kobalos, il metodo più utilizzato è quando il malware è incorporato nell'eseguibile del server OpenSSH e attiva il codice backdoor se la connessione proviene da una specifica porta TCP sorgente.
Il malware crittografa anche il traffico da e verso gli hacker, per fare ciò gli hacker devono autenticarsi con una chiave e una password RSA-512. La chiave genera e crittografa due chiavi da 16 byte che crittografano la comunicazione utilizzando la crittografia RC4.
Inoltre, la backdoor può passare la comunicazione a un'altra porta e fungere da proxy per raggiungere altri server compromessi.
Data la sua piccola base di codice (solo 24 KB) e la sua efficienza, ESET afferma che la sofisticazione di Kobalos è "raramente vista nel malware Linux".
fonte: https://www.welivesecurity.com