Kobalos : un malware Linux s'attaque à des supercalculateurs

Baptisé Kobalos, un malware de type backdoor s'exécute sur Linux, BSD et Solaris. Il cible des supercalculateurs en volant des identifiants SSH.
Avec une part de mystère concernant les intentions des attaquants, le malware Kobalos est présenté par les chercheurs de l'éditeur de solutions de cybersécurité ESET comme un malware Linux sophistiqué. Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe.
Kobalos permet d'obtenir un accès à distance au système de fichiers, créer des sessions de terminal, avec également la possibilité de connexions par proxy à d'autres serveurs infectés.
Parmi les méthodes afin que les opérateurs soient en mesure d'atteindre une machine infectée par Kobalos, le malware est intégré dans l'exécutable du serveur OpenSSH et déclenche le code backdoor si la connexion émane d'un port source TCP spécifique.
Une commande pour devenir un serveur C&C
D'après ESET, n'importe quel serveur compromis par Kobalos peut être transformé en un serveur de commande et contrôle via l'envoi d'une seule commande par les opérateurs. Les adresse IP et ports du serveur de commande et contrôle sont codés en dur dans le malware.
Dans la plupart des systèmes infectés par Kobalos, le client SSH est compromis pour dérober des identifiants. Dès lors, quiconque utilisant le client SSH d'une machine compromise aura ses identifiants capturés.
Les chercheurs d'ESET concèdent que le code de Kobalos est difficile à analyser. Il tient dans une seule fonction qui s'appelle de manière récursive pour effectuer des sous-tâches. Le malware est aussi difficile à trouver.
Des indicateurs de compromission sont disponibles sur un GitHub d'ESET. Le malware est capable d'infecter d'autres systèmes que Linux, comme BSD et Solaris. Pour AIX et Windows (anciennes plateformes), ce serait également probable.
-
Des experts en sécurité alertent sur la découverte d'un malware orienté vers le cyberespionnage qui cible à la fois Windows, MacOS et Linux.
-
La National Security Agency et le Federal Bureau of Investigation pour les États-Unis alertent au sujet d'un malware Linux. Drovorub serait déployé par un groupe de cyberespionnage sous la houlette des renseignements militaires russes.
Vos commentaires
Utilisez Windows, il y a un antivirus au moins
(Ceci est un troll, cordialement)
Cyber-guerre en vue
Vu les ports et la méthode. il semblerai que l'infection initiale puisse ce faire par un soucis de PebKac
Je suis en train de regarder Snowden et en lisant, j'entends en même temps le mot : il cible les supercalculateurs.
Premium
Le problème c'est que les hackers se sont rendus compte que c'était rentable de pirater des super calculateurs qui tournent sous Linux.
Et on sait très bien que lorsqu'on cherche on trouve.
Du coup, ils ont finis par créer des outils (efficaces apparemment) contre Linux.
Maintenant, il suffit que ces hackers mettent à disposition de tous leur outil pour que potentiellement ça te touche