Kobalos, la piccola ma insidiosa minaccia Linux



[ZEUS News - www.zeusnews.it - 08-02-2021]

Kobalos3

I ricercatori di ESET, azienda nel mercato della cybersecurity, hanno scoperto Kobalos, un malware che attacca i supercomputer, ovvero i cluster di computer ad alte prestazioni. ESET ha lavorato insieme al team di sicurezza informatica del CERN e ad altre organizzazioni operanti nella prevenzione degli attacchi alle reti di ricerca scientifica. Tra le vittime, un importante Internet service Provider asiatico, un vendor di sicurezza degli endpoint nordamericano e diversi server privati.

I ricercatori hanno decodificato questo piccolo ma complesso malware che può trasferirsi a molti sistemi operativi, tra cui Linux, BSD, Solaris e probabilmente anche AIX e Windows. "Abbiamo chiamato questo malware Kobalos per le dimensioni minuscole del codice e la sua insidiosità; nella mitologia greca, un Kobalos è una piccola creatura dispettosa", ha spiegato a Zeus News Marc-Etienne Léveillé, ricercatore che ha partecipato all'indagine. "Va detto che un simile livello di sofisticazione si vede molto raramente nel malware per Linux".

Kobalos

Kobalos è una backdoor contenente una serie di comandi che non rivelano l'intento degli aggressori. "In sostanza, Kobalos permette l'accesso remoto al file system, e dà la possibilità di generare sessioni terminali e di collegarsi tramite proxy ad altri server infettati da questo malware", ha proseguito Léveillé.

Qualunque server compromesso da Kobalos può essere trasformato in un server Command&Control (C&C) dagli hacker che lo controllano, attraverso un singolo comando. Poiché gli indirizzi IP e le porte del server C&C hanno delle codifiche fisse negli eseguibili, gli operatori possono generare nuovi esemplari di Kobalos che sfruttano questo nuovo C&C server. Inoltre, nella maggior parte dei sistemi compromessi da Kobalos, il client per la SecureShell (SSH) non è più in grado di proteggere le credenziali.

Kobalos2

"Chiunque utilizzi un server SSH di un computer infettato si vedrà sottrarre le proprie credenziali. Queste potranno essere utilizzate in un secondo momento dagli aggressori per installare Kobalos sul server appena violato", ha aggiunto Léveillé. La configurazione dell'autenticazione a due fattori per la connessione ai server SSH può attenuare la minaccia, poiché l'uso di credenziali rubate sembra essere uno dei modi in cui il malware si propaga su sistemi diversi.

Ulteriori dettagli tecnici su Kobalos sono disponibili a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Attacco a Microsoft Exchange, decine di migliaia i server ancora vulnerabili
Campagna malware ancora in corso colpisce Linux, soprattutto in Italia
I principali trend per la sicurezza informatica del 2021
Addio a CentOS Linux, apprezzata distribuzione per server
Il phishing evolve verso il machine learning
Il malware che colpisce gli utenti dei siti porno
E se il tuo stipendio finisse nelle tasche di un hacker?
Smishing, i consigli per non cadere nel tranello
Ransomware blocca ospedale, muore una paziente
Red Hat: Non installate quella patch
Storie di hacker, campeggi e libertà
Pubblicata la ''master list'' degli hacker

Commenti all'articolo (ultimi 5 di 7)

Forse è una tecnica di mascheramento? Se dopo aver forzato una sistema lo "ripulisco" chi lo gestisce facilmente si rende conto del problema e può intervenire, se invece resto silente e "aggredisco" solo chi si collega ho più tempo prima che mi scoprano e "ripulisco" più sistemi, può essere questa la... Leggi tutto
14-2-2021 16:22

{Wiz}
E a quel punto si esce dal mondo pseudo-reale e si entra in un meraviglioso CTF fine a se stesso :)
11-2-2021 22:09

peraltro se i sistemi erano vulnerabili, ci sta che qualcuno li abbia colpiti con l'intento di sostituire il client SSH con uno appositamente modificato... quindi non è neanche detto che uno andasse in giro per la rete a scaricare software a caso... :? comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti... Leggi tutto
11-2-2021 19:30

{Wiz}
Ok, ma il punto "Some of the compromised machines ran old, unsupported, or unpatched operating systems and software" credo che ricada abbastanza bene nella categoria "negligenze da parte di amministratori di sistema". Anche l'utilizzo di client SSH presi a caso in giro per la rete non è proprio una gran furbata, è un... Leggi tutto
11-2-2021 13:14

{Scafroglia}
@Wiz: ok ti cito il capitolo 3.2 initial compromise vector preso dal paper di ESET su Kobalos. "We do not have firsthand knowledge of how systems were compromised to gain administrative access to install the Kobalos backdoor on them. We can only speculate based on the forensic artifacts we collected while assisting victims.On... Leggi tutto
11-2-2021 10:13

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Dove e come sei solito vedere i film?
Al cinema.
A casa, quelli trasmessi in Tv.
A casa, sul Pc.
A casa, con un lettore multimediale.
Ovunque, sul cellulare (oppure iPad / iPod / lettore Mp3)

Mostra i risultati (3477 voti)
Giugno 2021
Windows 11, l'ISO del sistema finisce in Rete
Windows 11, i primi screenshot sfuggono in Rete
Tutti gli indizi che puntano a Windows 11
Gli hard disk al grafene sono 10 volte più capienti
Microsoft nasconde la fotocamera sotto lo schermo che forma il logo di Windows
Il nuovo Windows 10 si svela a fine mese
Nuova tecnica contro il ransomware: ingannare il sistema di pagamento
Maggio 2021
Malvivente condannato grazie a una foto delle dita pubblicata online
Annunciata la prossima generazione di Windows
Guidi male? Forse è un primo segno di demenza
Scarsità di chip, televisori più cari del 30%
Android 12: veloce, attento alla privacy e personalizzabile
Nella Tesla schiantatasi con “nessuno” al volante c’era qualcuno al volante
WhatsApp, funzionalità ridotte se non si vogliono regalare i dati a Facebook
La scorciatoia da tastiera che scongela il Pc
Tutti gli Arretrati
Accadde oggi - 19 giugno


web metrics