Start Empfohlen Linux-Malware Kobalos stiehlt Anmeldeinformationen mit gehackter OpenSSH-Software

Linux-Malware Kobalos stiehlt Anmeldeinformationen mit gehackter OpenSSH-Software

3
0


Malware-Konzept

Eine trojanisierte Version der OpenSSH-Software wird verwendet, um SSH-Anmeldeinformationen von High Performance Computing (HPC)-Clustern zu stehlen, berichtet die Sicherheitsfirma ESET. Die Linux-Malware wird Kobalos genannt und als „klein, aber komplex“ und „tricky“ beschrieben.

Trotz ihrer geringen Größe trifft die Hintertür von Kobalos einige wichtige Ziele, darunter Regierungssysteme in den USA, Universitäten in Europa und einen großen ISP in Asien. Sicherheitsexperten berichten, dass die Multiplattform-Backdoor zwar unter Linux, FreeBSD und Solaris funktioniert, „es aber auch Artefakte gibt, die darauf hindeuten, dass Varianten dieser Malware für AIX und sogar Windows existieren“.

Siehe auch:

Forscher von ESET haben Kobalos (benannt nach einer kleinen, schelmischen Kreatur in der griechischen Mythologie) zurückentwickelt und konnten dann das Internet nach Opfern der Malware durchsuchen. Meist waren es Großsysteme und Supercomputer, aber es gab auch Vorfälle mit privaten Servern.

Der Zweck und der Täter von Kobalos ist derzeit nicht bekannt

ESET schreibt über die Hintertür und sagt:

Vielleicht unabhängig von den Ereignissen mit Kobalos gab es im vergangenen Jahr mehrere Sicherheitsvorfälle mit HPC-Clustern. Manche von ihnen drück die presse und Details wurden veröffentlicht in einem Advisory des European Grid Infrastructure (EGI) CSIRT über Fälle, in denen Kryptowährungs-Miner eingesetzt wurden. Die EGI-CSIRT-Empfehlung zeigt, dass bei diesen Angriffen kompromittierte Server in Polen, Kanada und China verwendet wurden. Presseartikel erwähnen auch Archer, einen in Großbritannien ansässigen Supercomputer, bei dem SSH-Zugangsdaten gestohlen wurden, enthalten jedoch keine Details darüber, welche Malware verwendet wurde, falls vorhanden.

Wir haben mit dem CERN Computer Security Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf wissenschaftliche Forschungsnetzwerke beteiligt sind. Demnach ist die Verwendung der Kobalos-Malware älter als die anderen Vorfälle. Obwohl wir wissen, dass Kobalos große HPC-Cluster kompromittiert hat, konnte niemand die Kobalos-Vorfälle mit der Verwendung von Kryptowährungs-Malware in Verbindung bringen. Die Malware und die Techniken, die in diesen anderen Angriffen beschrieben werden, sind unterschiedlich. Wir wissen auch, dass Kobalos nicht ausschließlich auf HPCs abzielt: Wir haben festgestellt, dass auch ein großer asiatischer ISP, ein nordamerikanischer Anbieter von Endpunktsicherheit (nicht wir) sowie einige persönliche Server von dieser Bedrohung kompromittiert wurden.

Obwohl die Codebasis von Kobalos sehr klein ist, enthält sie den Code zum Ausführen eines Befehls- und Kontrollservers. ESET merkt an: „Jeder von Kobalos kompromittiert Server kann durch die Operatoren, die einen einzigen Befehl senden, in einen C&C-Server umgewandelt werden. Da die C&C-Server-IP-Adressen und -Ports in der ausführbaren Datei fest codiert sind, können die Operatoren dann neue Kobalos-Beispiele generieren, die dieses neue verwenden C&C-Server“.

Um Angriffe abzuwehren, empfiehlt die Sicherheitsfirma, dass Benutzer die Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern aktivieren. ESET sagt, dass seine Tools die Malware als Linux/Kobalos oder Linux/Agent.IV erkennen, während der SSH-Credential-Stealer als Linux/SSHDoor.EV, Linux/SSHDoor.FB oder Linux/SSHDoor.FC erkannt wird

Sie können das vollständige Whitepaper von ESET, A Wild Kobalos Appears, lesen. Hier.

Bildnachweis: Toonix / Shutterstock



Vorheriger ArtikelMit Microsoft können Sie jetzt Anrufe von Ihrem PC aus tätigen
Nächster ArtikelSind Ihre Daten bereit für 2021?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein