Kobalos, la piccola ma insidiosa minaccia Linux



[ZEUS News - www.zeusnews.it - 08-02-2021]

Kobalos3

I ricercatori di ESET, azienda nel mercato della cybersecurity, hanno scoperto Kobalos, un malware che attacca i supercomputer, ovvero i cluster di computer ad alte prestazioni. ESET ha lavorato insieme al team di sicurezza informatica del CERN e ad altre organizzazioni operanti nella prevenzione degli attacchi alle reti di ricerca scientifica. Tra le vittime, un importante Internet service Provider asiatico, un vendor di sicurezza degli endpoint nordamericano e diversi server privati.

I ricercatori hanno decodificato questo piccolo ma complesso malware che può trasferirsi a molti sistemi operativi, tra cui Linux, BSD, Solaris e probabilmente anche AIX e Windows. "Abbiamo chiamato questo malware Kobalos per le dimensioni minuscole del codice e la sua insidiosità; nella mitologia greca, un Kobalos è una piccola creatura dispettosa", ha spiegato a Zeus News Marc-Etienne Léveillé, ricercatore che ha partecipato all'indagine. "Va detto che un simile livello di sofisticazione si vede molto raramente nel malware per Linux".

Kobalos

Kobalos è una backdoor contenente una serie di comandi che non rivelano l'intento degli aggressori. "In sostanza, Kobalos permette l'accesso remoto al file system, e dà la possibilità di generare sessioni terminali e di collegarsi tramite proxy ad altri server infettati da questo malware", ha proseguito Léveillé.

Qualunque server compromesso da Kobalos può essere trasformato in un server Command&Control (C&C) dagli hacker che lo controllano, attraverso un singolo comando. Poiché gli indirizzi IP e le porte del server C&C hanno delle codifiche fisse negli eseguibili, gli operatori possono generare nuovi esemplari di Kobalos che sfruttano questo nuovo C&C server. Inoltre, nella maggior parte dei sistemi compromessi da Kobalos, il client per la SecureShell (SSH) non è più in grado di proteggere le credenziali.

Kobalos2

"Chiunque utilizzi un server SSH di un computer infettato si vedrà sottrarre le proprie credenziali. Queste potranno essere utilizzate in un secondo momento dagli aggressori per installare Kobalos sul server appena violato", ha aggiunto Léveillé. La configurazione dell'autenticazione a due fattori per la connessione ai server SSH può attenuare la minaccia, poiché l'uso di credenziali rubate sembra essere uno dei modi in cui il malware si propaga su sistemi diversi.

Ulteriori dettagli tecnici su Kobalos sono disponibili a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Attacco a Microsoft Exchange, decine di migliaia i server ancora vulnerabili
Campagna malware ancora in corso colpisce Linux, soprattutto in Italia
I principali trend per la sicurezza informatica del 2021
Addio a CentOS Linux, apprezzata distribuzione per server
Il phishing evolve verso il machine learning
Il malware che colpisce gli utenti dei siti porno
E se il tuo stipendio finisse nelle tasche di un hacker?
Smishing, i consigli per non cadere nel tranello
Ransomware blocca ospedale, muore una paziente
Red Hat: Non installate quella patch
Storie di hacker, campeggi e libertà
Pubblicata la ''master list'' degli hacker

Commenti all'articolo (ultimi 5 di 7)

Forse è una tecnica di mascheramento? Se dopo aver forzato una sistema lo "ripulisco" chi lo gestisce facilmente si rende conto del problema e può intervenire, se invece resto silente e "aggredisco" solo chi si collega ho più tempo prima che mi scoprano e "ripulisco" più sistemi, può essere questa la... Leggi tutto
14-2-2021 16:22

{Wiz}
E a quel punto si esce dal mondo pseudo-reale e si entra in un meraviglioso CTF fine a se stesso :)
11-2-2021 22:09

peraltro se i sistemi erano vulnerabili, ci sta che qualcuno li abbia colpiti con l'intento di sostituire il client SSH con uno appositamente modificato... quindi non è neanche detto che uno andasse in giro per la rete a scaricare software a caso... :? comunque curiosa l'idea, forzo un sistema e non faccio razzia di tutti i segreti... Leggi tutto
11-2-2021 19:30

{Wiz}
Ok, ma il punto "Some of the compromised machines ran old, unsupported, or unpatched operating systems and software" credo che ricada abbastanza bene nella categoria "negligenze da parte di amministratori di sistema". Anche l'utilizzo di client SSH presi a caso in giro per la rete non è proprio una gran furbata, è un... Leggi tutto
11-2-2021 13:14

{Scafroglia}
@Wiz: ok ti cito il capitolo 3.2 initial compromise vector preso dal paper di ESET su Kobalos. "We do not have firsthand knowledge of how systems were compromised to gain administrative access to install the Kobalos backdoor on them. We can only speculate based on the forensic artifacts we collected while assisting victims.On... Leggi tutto
11-2-2021 10:13

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A quali condizioni lavoreresti da casa anziché in ufficio?
Accetterei uno stipendio inferiore perché risparmierei sui trasporti e in tempo.
Vorrei uno stipendio maggiore perché l'azienda risparmierebbe su locali, strumenti, sicurezza.
Allo stesso stipendio.
Non rinuncerei al lavoro in ufficio per nulla al mondo.

Mostra i risultati (2546 voti)
Ottobre 2021
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
I disservizi di Facebook costano a Mark Zuckerberg 6 miliardi
Pesa di più una chiavetta USB piena di dati o una vuota?
Settembre 2021
iPhone 14: un progetto completamente nuovo
Microsoft cede: Windows 11 si installa anche su hardware incompatibile
Windows 10, l'update di settembre impedisce di stampare
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Tutti gli Arretrati
Accadde oggi - 24 ottobre


web metrics