Kobalos : un malware Linux s'attaque à des supercalculateurs

Le par Jérôme G.  |  9 commentaire(s)
supercalculateur

Baptisé Kobalos, un malware de type backdoor s'exécute sur Linux, BSD et Solaris. Il cible des supercalculateurs en volant des identifiants SSH.

Avec une part de mystère concernant les intentions des attaquants, le malware Kobalos est présenté par les chercheurs de l'éditeur de solutions de cybersécurité ESET comme un malware Linux sophistiqué. Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe.

Kobalos permet d'obtenir un accès à distance au système de fichiers, créer des sessions de terminal, avec également la possibilité de connexions par proxy à d'autres serveurs infectés.

Parmi les méthodes afin que les opérateurs soient en mesure d'atteindre une machine infectée par Kobalos, le malware est intégré dans l'exécutable du serveur OpenSSH et déclenche le code backdoor si la connexion émane d'un port source TCP spécifique.

kobalos-acces-eset

Une commande pour devenir un serveur C&C

D'après ESET, n'importe quel serveur compromis par Kobalos peut être transformé en un serveur de commande et contrôle via l'envoi d'une seule commande par les opérateurs. Les adresse IP et ports du serveur de commande et contrôle sont codés en dur dans le malware.

Dans la plupart des systèmes infectés par Kobalos, le client SSH est compromis pour dérober des identifiants. Dès lors, quiconque utilisant le client SSH d'une machine compromise aura ses identifiants capturés.

Les chercheurs d'ESET concèdent que le code de Kobalos est difficile à analyser. Il tient dans une seule fonction qui s'appelle de manière récursive pour effectuer des sous-tâches. Le malware est aussi difficile à trouver.

Des indicateurs de compromission sont disponibles sur un GitHub d'ESET. Le malware est capable d'infecter d'autres systèmes que Linux, comme BSD et Solaris. Pour AIX et Windows (anciennes plateformes), ce serait également probable.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Le #2120518
Avant le troll c'était pas d'antivirus sous linux l'avantage....
iFlo59 Hors ligne VIP icone 29658 points
Premium
Le #2120527
Mouep, c'est normal sur Linux, il n'y a pas d'antivirus, ni de sécurité, vous vous attendez à quoi?
Utilisez Windows, il y a un antivirus au moins

(Ceci est un troll, cordialement)
skynet Absent VIP icone 77346 points
Le #2120531
"Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe."

Cyber-guerre en vue
lebonga Hors ligne VIP avatar 31250 points
Le #2120548
m'en fout, j'ai pas de cluster de calcul haute perf....
OkLeMonde Hors ligne Héroïque avatar 592 points
Le #2120553
Yves6 a écrit :

Avant le troll c'était pas d'antivirus sous linux l'avantage....


Vu les ports et la méthode. il semblerai que l'infection initiale puisse ce faire par un soucis de PebKac
dan4 Hors ligne VIP icone 5281 points
Le #2120562
Pas très rassurant pour Linux et encore moins pour Windows.

Je suis en train de regarder Snowden et en lisant, j'entends en même temps le mot : il cible les supercalculateurs.
FRANCKYIV Absent VIP icone 49525 points
Premium
Le #2120578
lebonga a écrit :

m'en fout, j'ai pas de cluster de calcul haute perf....


Le problème c'est que les hackers se sont rendus compte que c'était rentable de pirater des super calculateurs qui tournent sous Linux.

Et on sait très bien que lorsqu'on cherche on trouve.

Du coup, ils ont finis par créer des outils (efficaces apparemment) contre Linux.

Maintenant, il suffit que ces hackers mettent à disposition de tous leur outil pour que potentiellement ça te touche
cityhunter67 Hors ligne Vétéran icone 1721 points
Le #2120677
Ca sent les commande à distances de cassage de blocks bitcoin
moowoom Hors ligne Héroïque avatar 619 points
Le #2120703
"le malware est intégré dans l'exécutable du serveur OpenSSH.....codés en dur dans le malware..."


icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar