Présentation de Kobalos : un virus qui vole les informations d’identification SSH

ESET, une entreprise de cybersécurité, a récemment découvert un logiciel malveillant qui cible en particulier les superordinateurs. Les chercheurs ont découvert que le malware a une propension à voler les identifiants SSH en exploitant une faille dans le logiciel OpenSSH.

Le malware est vraiment avancé. En plus de sa petite taille, il possède d’excellentes performances qui ont laissé les analystes perplexes. C’est pourquoi on lui a donné le nom de Kobalos, qui fait référence à des bêtes mythologiques. Malheureusement, en raison de la complexité de l’attaque, les spécialistes n’ont pas été en mesure de déterminer les véritables intentions des attaquants. Cela rend également impossible l’identification des développeurs du virus informatique.

Un malware de petite taille mais très puissant

Les Kobalos étaient un groupe de terribles gobelins qui tourmentaient et terrorisaient l’humanité dans la mythologie grecque. Par conséquent, Kobalos est un excellent nom pour ce malware. Il possède des capacités uniques d’obfuscation et d’anti-falsification, malgré sa petite taille de 24 Ko. Il se distingue également par le fait que tout son code est contenu dans une seule fonction.

Kobalos, quant à lui, peut gérer jusqu’à 37 actions tout en exécutant de nombreuses sous-tâches en employant récursivement ce module (l’ensemble de code). Il peut exécuter un serveur de commande et de contrôle (C&C) depuis une machine compromise grâce à l’un de ces processus. Il peut également être utilisé comme un proxy pour se connecter à d’autres serveurs compromis.

En raison de son architecture compacte et de ses chaînes de caractères codées, Kobalos s’est avéré difficile à évaluer. Il crypte également la connexion entre les opérateurs d’attaque et les attaquants. Pour ce faire, il utilise le cryptage de flux RC4, ce qui rend l’identification des attaquants difficile.

Les victimes visées par Kobalos

Kobalos est un cheval de Troie multiplateforme qui attaque les systèmes Linux, BSD et Solaris. Selon les analystes, des variantes du virus pourraient être capables d’attaquer les systèmes AIX et Windows. Après la découverte de la signature de Kobalos, ESET a effectué des recherches à distance pour déterminer quels appareils avaient été infectés par le virus.

Les experts soupçonnent que les clusters de calcul haute performance (HPC), les ordinateurs des universités et du secteur de la recherche figurent parmi les victimes de Kobalos. Kobalos a également infecté un grand fournisseur d’accès Internet asiatique, une société américaine de sécurité des terminaux et quelques serveurs domestiques.

Les experts ne savent toujours pas comment les opérateurs ont réussi à introduire Kobalos dans le réseau HPC. Ils pensent que les pirates ont pu exploiter une faille dans le système. Selon le rapport, les systèmes concernés exécutent des systèmes d’exploitation et des applications plus anciens, non pris en charge ou non corrigés.

Mettre un terme à l’expansion de Kobalos

Selon les experts, les performances de Kobalos sont supérieures à celles de toutes les autres attaques basées sur Linux. Ils ont pu confirmer que les concepteurs du malware sont très compétents en la matière. Malgré leur attaque, les pirates n’ont pas miné de crypto-monnaies en utilisant la puissance de traitement des superordinateurs. Kobalos a uniquement agi pour voler les noms d’utilisateur, les mots de passe et les noms d’hôtes des administrateurs.

Ceux qui ont été touchés par l’attaque de Kobalos ont été informés par ESET qu’ils peuvent travailler ensemble pour détecter et contrer l’attaque. Les experts ont publié une analyse technique complète sur ce malware pour aider les victimes potentielles. Des indicateurs de compromission (IoC) sont utilisés dans cette enquête pour détecter le malware.

Selon des études, l’utilisation de l’authentification à deux facteurs (2 FA) peut contribuer à réduire la propagation de Kobalos. Comme le logiciel malveillant se propage principalement par le vol d’informations d’identification, cela semble être la meilleure option.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.