Kobalos : un malware Linux s'attaque à des supercalculateurs

Le par Jérôme G.  |  9 commentaire(s)
supercalculateur

Baptisé Kobalos, un malware de type backdoor s'exécute sur Linux, BSD et Solaris. Il cible des supercalculateurs en volant des identifiants SSH.

Avec une part de mystère concernant les intentions des attaquants, le malware Kobalos est présenté par les chercheurs de l'éditeur de solutions de cybersécurité ESET comme un malware Linux sophistiqué. Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe.

Kobalos permet d'obtenir un accès à distance au système de fichiers, créer des sessions de terminal, avec également la possibilité de connexions par proxy à d'autres serveurs infectés.

Parmi les méthodes afin que les opérateurs soient en mesure d'atteindre une machine infectée par Kobalos, le malware est intégré dans l'exécutable du serveur OpenSSH et déclenche le code backdoor si la connexion émane d'un port source TCP spécifique.

kobalos-acces-eset

Une commande pour devenir un serveur C&C

D'après ESET, n'importe quel serveur compromis par Kobalos peut être transformé en un serveur de commande et contrôle via l'envoi d'une seule commande par les opérateurs. Les adresse IP et ports du serveur de commande et contrôle sont codés en dur dans le malware.

Dans la plupart des systèmes infectés par Kobalos, le client SSH est compromis pour dérober des identifiants. Dès lors, quiconque utilisant le client SSH d'une machine compromise aura ses identifiants capturés.

Les chercheurs d'ESET concèdent que le code de Kobalos est difficile à analyser. Il tient dans une seule fonction qui s'appelle de manière récursive pour effectuer des sous-tâches. Le malware est aussi difficile à trouver.

Des indicateurs de compromission sont disponibles sur un GitHub d'ESET. Le malware est capable d'infecter d'autres systèmes que Linux, comme BSD et Solaris. Pour AIX et Windows (anciennes plateformes), ce serait également probable.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Yves6 offline Hors ligne Vétéran icone 2461 points
Le #2120518
Avant le troll c'était pas d'antivirus sous linux l'avantage....
iFlo59 online Connecté VIP icone 32081 points
Le #2120527
Mouep, c'est normal sur Linux, il n'y a pas d'antivirus, ni de sécurité, vous vous attendez à quoi?
Utilisez Windows, il y a un antivirus au moins

(Ceci est un troll, cordialement)
skynet online Connecté VIP icone 88123 points
Le #2120531
"Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe."

Cyber-guerre en vue
lebonga offline Hors ligne VIP avatar 33165 points
Le #2120548
m'en fout, j'ai pas de cluster de calcul haute perf....
OkLeMonde offline Hors ligne Héroïque avatar 826 points
Le #2120553
Yves6 a écrit :

Avant le troll c'était pas d'antivirus sous linux l'avantage....


Vu les ports et la méthode. il semblerai que l'infection initiale puisse ce faire par un soucis de PebKac
dan4 offline Hors ligne VIP icone 5402 points
Le #2120562
Pas très rassurant pour Linux et encore moins pour Windows.

Je suis en train de regarder Snowden et en lisant, j'entends en même temps le mot : il cible les supercalculateurs.
FRANCKYIV offline Hors ligne VIP icone 58240 points
Premium
Le #2120578
lebonga a écrit :

m'en fout, j'ai pas de cluster de calcul haute perf....


Le problème c'est que les hackers se sont rendus compte que c'était rentable de pirater des super calculateurs qui tournent sous Linux.

Et on sait très bien que lorsqu'on cherche on trouve.

Du coup, ils ont finis par créer des outils (efficaces apparemment) contre Linux.

Maintenant, il suffit que ces hackers mettent à disposition de tous leur outil pour que potentiellement ça te touche
cityhunter67 offline Hors ligne Vétéran icone 1924 points
Le #2120677
Ca sent les commande à distances de cassage de blocks bitcoin
moowoom offline Hors ligne Héroïque avatar 732 points
Le #2120703
"le malware est intégré dans l'exécutable du serveur OpenSSH.....codés en dur dans le malware..."


icone Suivre les commentaires
Poster un commentaire