Kobalos, la piccola ma insidiosa minaccia Linux



[ZEUS News - www.zeusnews.it - 08-02-2021]

Kobalos3

I ricercatori di ESET, azienda nel mercato della cybersecurity, hanno scoperto Kobalos, un malware che attacca i supercomputer, ovvero i cluster di computer ad alte prestazioni. ESET ha lavorato insieme al team di sicurezza informatica del CERN e ad altre organizzazioni operanti nella prevenzione degli attacchi alle reti di ricerca scientifica. Tra le vittime, un importante Internet service Provider asiatico, un vendor di sicurezza degli endpoint nordamericano e diversi server privati.

I ricercatori hanno decodificato questo piccolo ma complesso malware che può trasferirsi a molti sistemi operativi, tra cui Linux, BSD, Solaris e probabilmente anche AIX e Windows. "Abbiamo chiamato questo malware Kobalos per le dimensioni minuscole del codice e la sua insidiosità; nella mitologia greca, un Kobalos è una piccola creatura dispettosa", ha spiegato a Zeus News Marc-Etienne Léveillé, ricercatore che ha partecipato all'indagine. "Va detto che un simile livello di sofisticazione si vede molto raramente nel malware per Linux".

Kobalos

Kobalos è una backdoor contenente una serie di comandi che non rivelano l'intento degli aggressori. "In sostanza, Kobalos permette l'accesso remoto al file system, e dà la possibilità di generare sessioni terminali e di collegarsi tramite proxy ad altri server infettati da questo malware", ha proseguito Léveillé.

Qualunque server compromesso da Kobalos può essere trasformato in un server Command&Control (C&C) dagli hacker che lo controllano, attraverso un singolo comando. Poiché gli indirizzi IP e le porte del server C&C hanno delle codifiche fisse negli eseguibili, gli operatori possono generare nuovi esemplari di Kobalos che sfruttano questo nuovo C&C server. Inoltre, nella maggior parte dei sistemi compromessi da Kobalos, il client per la SecureShell (SSH) non è più in grado di proteggere le credenziali.

Kobalos2

"Chiunque utilizzi un server SSH di un computer infettato si vedrà sottrarre le proprie credenziali. Queste potranno essere utilizzate in un secondo momento dagli aggressori per installare Kobalos sul server appena violato", ha aggiunto Léveillé. La configurazione dell'autenticazione a due fattori per la connessione ai server SSH può attenuare la minaccia, poiché l'uso di credenziali rubate sembra essere uno dei modi in cui il malware si propaga su sistemi diversi.

Ulteriori dettagli tecnici su Kobalos sono disponibili a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Campagna malware ancora in corso colpisce Linux, soprattutto in Italia
I principali trend per la sicurezza informatica del 2021
Addio a CentOS Linux, apprezzata distribuzione per server
Il phishing evolve verso il machine learning
Il malware che colpisce gli utenti dei siti porno
E se il tuo stipendio finisse nelle tasche di un hacker?
Smishing, i consigli per non cadere nel tranello
Ransomware blocca ospedale, muore una paziente
Red Hat: Non installate quella patch
Storie di hacker, campeggi e libertà
Pubblicata la ''master list'' degli hacker

Commenti all'articolo (ultimi 5 di 7)

Forse è una tecnica di mascheramento? Se dopo aver forzato una sistema lo "ripulisco" chi lo gestisce facilmente si rende conto del problema e può intervenire, se invece resto silente e "aggredisco" solo chi si collega ho più tempo prima che mi scoprano e "ripulisco" più sistemi, può essere questa la... Leggi tutto
14-2-2021 16:22

{Wiz}
E a quel punto si esce dal mondo pseudo-reale e si entra in un meraviglioso CTF fine a se stesso :)
11-2-2021 22:09

peraltro se i sistemi erano vulnerabili, ci sta che qualcuno li abbia colpiti con l'intento di sostituire il client SSH con uno appositamente modificato... quindi non è neanche detto che uno andasse in giro per la rete a scaricare software a caso... :? comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti... Leggi tutto
11-2-2021 19:30

{Wiz}
Ok, ma il punto "Some of the compromised machines ran old, unsupported, or unpatched operating systems and software" credo che ricada abbastanza bene nella categoria "negligenze da parte di amministratori di sistema". Anche l'utilizzo di client SSH presi a caso in giro per la rete non è proprio una gran furbata, è un... Leggi tutto
11-2-2021 13:14

{Scafroglia}
@Wiz: ok ti cito il capitolo 3.2 initial compromise vector preso dal paper di ESET su Kobalos. "We do not have firsthand knowledge of how systems were compromised to gain administrative access to install the Kobalos backdoor on them. We can only speculate based on the forensic artifacts we collected while assisting victims.On... Leggi tutto
11-2-2021 10:13

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai una carta fedeltà o di raccolta punti?
Ebbene sì, ne ho diverse. E non ci trovo niente di male.
Mi sono lasciato infinocchiare. Ne ho qualcuna e mi vergogno un po'.
Lungi da me!

Mostra i risultati (2497 voti)
Marzo 2021
Hard disk a confronto con SSD nei data center
Sciami di router nelle nostre case conoscono la nostra posizione
Febbraio 2021
Nuovi Mac, gli SSD durano pochissimo
Elettrodomestici, A+++ può diventare B o C
Se non accetti le nuove condizioni, WhatsApp ti cancella l'account
Come perdere mezzo miliardo: non serve smarrire la password del wallet Bitcoin
Sms svuota conto corrente: occhio alla truffa
Vendere o comprare una casa online all'asta (senza Tribunale)
Hacking e caffeina: 167.772 euro da spendere in caffè
Arriva LibreOffice 7.1 Community ma è importante non usarlo in azienda
Didattica a distanza, genio su Zoom
La Stampa, L’Espresso, il Corriere e il metodo redazionale: nessuno rilegge
Sgominato Emotet, la madre di tutti i malware
Gennaio 2021
iPhone 12 e pacemaker, meglio che stiano lontani
Minori su Tik Tok, accesso con Spid?
Tutti gli Arretrati
Accadde oggi - 5 marzo


web metrics