5 februari 2021 08:29

In samenwerking met CERN ontdekt ESET Kobalos, een complexe Linux-dreiging, die supercomputers aanvalt

Kobalos, een malware die supercomputers - groepen high-performance computers (HPC's) - aanvalt, werd ontdekt door ESET-onderzoekers. ESET heeft hiervoor samengewerkt met het IT-beveiligingsteam van CERN en andere organisaties betrokken bij het beperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Andere doelwitten waren onder andere een grote Aziatische ISP, een Noord-Amerikaanse provider van endpointbeveiliging en verschillende privéservers.

De onderzoekers van ESET hebben reverse-engineering toegepast op dit zeer complexe stukje malware dat kan worden geplaatst op veel besturingssystemen, waaronder Linux, BSD, Solaris en mogelijk ook AIX en Windows. Marc-Etienne Léveillé, die het onderzoek voor ESET leidde, legt uit: “Deze malware heet Kobalos vanwege de kleine omvang van de code en de vele trucs die gebruikt worden; in de Griekse mythologie is een kobalos een speels klein wezen. Tot nog toe werd, bij Linux-malware, dit niveau van verfijning zelden waargenomen ”.

Kobalos is een achterdeur met een groot aantal commando’s die de bedoelingen van de aanvallers niet onthullen. “Kortom, Kobalos biedt externe toegang tot de bestandssystemen, maakt de uitvoering van sessies met terminals mogelijk en laat ook proxyverbindingen toe met andere servers die met deze malware geïnfecteerd zijn”, verduidelijkt Léveillé.

Elke server door Kobalos gecompromitteerd, kan worden omgezet in een Command & Control (C&C) -server door operatoren die slechts één commando hoeven te verzenden. Omdat de IP-adressen en poorten van de C&C-server sterk gecodeerd zijn in het uitvoerbare bestand, kunnen operatoren nieuwe Kobalos-voorbeelden genereren die vervolgens deze nieuwe C&C-server zullen gebruiken. Bovendien wordt in de meeste systemen die door Kobalos zijn gecompromitteerd, de Secure Communication Client (SSH) gecompromitteerd om inloggegevens te stelen.

“De inloggegevens van iedereen die de SSH-client van een gecompromitteerde machine gebruikt, worden gestolen. Deze gegevens kunnen vervolgens door aanvallers gebruikt worden om Kobalos later op de nieuw ontdekte server te installeren”, zegt Léveillé. Het configureren van tweefactorauthenticatie om verbinding te maken met SSH-servers zal de dreiging verminderen, daar het gebruik van gestolen inloggegevens een van de manieren lijkt te zijn die Kobalos gebruikt om zich over verschillende systemen te verspreiden.

Lees, voor meer technische details over Kobalos, de blogpost “Kobalos – A complex Linux threat to high performance computing infrastructure” op www.WeLiveSecurity . Volg ook ESET Research on Twitter voor de nieuwste informatie over ESET-onderzoek.

Over ESET

Al 30 jaar ontwikkelt ESET® wereldwijd vooraanstaande software voor IT-beveiliging alsook diensten voor bedrijven en consumenten. ESET, inmiddels grootste IT-security bedrijf van de Europese Unie, biedt een brede waaier aan van oplossingen die gaan van endpoint en mobiele beveiliging tot versleuteling en twee-factor authenticatie. ESET’s hoogpresterende en gemakkelijk te gebruiken producten laten consumenten en bedrijven toe met gemoedsrust te genieten van hun technologie.

ESET beschermt en monitort onopvallend 24/7 en werkt de bescherming in realtime bij om gebruikers veilig te houden en zonder onderbreking te laten werken. De constant veranderende bedreigingen vragen om IT-beveiliging die mee evolueert. Ondersteund door wereldwijde O&O centra werd ESET het eerste IT-beveiligingsbedrijf dat 100 maal de Virus Bulletin VB100 awards kreeg voor het identificeren van elke “in-the-wild” malware en dit zonder onderbreking sinds 2003.

Bezoek ook ESET Belgium op https://www.eset.com/be-nl/