Sliedrecht, 2 februari 2021 – ESET-onderzoekers hebben Kobalos ontdekt, malware die supercomputers – zogenaamde high performance computer (HPC) clusters - heeft aangevallen. De onderzoekers van ESET werkten samen met het CERN Computer Security Team en andere organisaties die betrokken zijn bij het inperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Onder de doelwitten bevonden zich onder andere een grote Aziatische Internet providers een Noord-Amerikaanse leverancier van endpoint security, alsook verscheidene private servers.
ESET-onderzoekers hebben de kleine, maar complexe malware reverse-engineered. Hieruit bleek dat de malware overdraagbaar is naar vele besturingssystemen waaronder Linux, BSD, Solaris, en mogelijk ook AIX en Windows. " Wij hebben deze malware Kobalos genoemd vanwege zijn kleine codegrootte en vele trucs; in de Griekse mythologie is een Kobalos een klein, ondeugend schepsel," legt Marc-Etienne Léveillé, die Kobalos onderzocht, uit. "Het moet gezegd worden dat dit niveau van verfijning slechts zelden wordt gezien in Linux malware," vervolgt Léveillé.
Kobalos is een backdoor die uitgebreide commando's bevat die de intentie van de aanvallers niet onthullen. "In het kort geeft Kobalos op afstand toegang tot het file system, biedt het de mogelijkheid om terminalsessies op te startenen staat het proxyverbindingen toe naar andere met Kobalos geïnfecteerde servers," zegt Léveillé.
Elke server die door Kobalos is gecompromitteerd, kan door de operators met één enkel commando worden omgevormd tot een Command & Control (C&C) server. Aangezien de IP-adressen en poorten van de C&C-server in de executables zijn gecodeerd, kunnen de operators vervolgens nieuwe Kobalos-bestanden genereren die deze nieuwe C&C-server gebruiken. Bovendien wordt in de meeste systemen die door Kobalos zijn gecompromitteerd, de client voor beveiligde communicatie (SSH) gecompromitteerd om inloggegevens te stelen.
"Van iedereen die de SSH-client van een gecompromitteerde machine gebruikt, worden de inloggegevens onderschept. Die inloggegevens kunnen vervolgens door de aanvallers worden gebruikt om vervolgens Kobalos op de nieuw ontdekte server te installeren," aldus Léveillé. Het instellen van tweefactorauthenticatie voor het verbinden met SSH-servers zal de dreiging dan ook verminderen. Het gebruik van gestolen inloggegevens lijkt namelijk één van de manieren te zijn waarop het virus zich steeds verder kan verspreiden naar andere systemen.
Meer technische details over Kobalos zijn te vinden in de blogpost "Kobalos - A complex Linux threat to high performance computing infrastructure" op WeLiveSecurity.
Sector en regio van getroffen organisaties
Over ESET
Al meer dan 30 jaar ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.