Kobalos : un puissant malware dérobe les données d’identifications SSH

Récemment, l’entreprise de cybersécurité ESET a détecté un malware qui s’attaque particulièrement aux supercalculateurs. Les chercheurs ont pu constater que le maliciel avait tendance à voler des identifiants SSH en utilisant un logiciel OpenSSH piégé.

Le malware est très sophistiqué. En plus d’avoir une taille très compacte, il possède de grandes performances qui ont mis en déroute les analystes. Voilà pourquoi ils l’ont appelé Kobalos en référence à des créatures mythologiques. Malheureusement, à cause de son niveau de sophistication, les experts n’ont pas pu découvrir le réel but des attaquants. Ce qui empêche également d’identifier les créateurs de ce virus informatique.
 
Un minuscule malware avec de grandes compétences

Dans la mythologie grecque, les kobalois étaient une troupe de lutins malfaisants réputés pour tourmenter et terroriser les mortels. Kobalos est donc un nom tout à fait approprié à ce malware. Avec sa taille de 24 Ko, il dispose de techniques d’obfuscation et d’anti-forensics qui lui sont uniques. Il se démarque aussi par son code encapsulé dans une seule fonction.

Cependant, en utilisant récursivement ce module (l’ensemble des codes), Kobalos peut prendre en charge jusqu’à 37 actions tout en exécutant plusieurs sous-tâches. L’un de ces processus lui permet d’exécuter un serveur de commande et de contrôle (C&C) à partir d’une machine compromise. En outre, il peut agir comme un proxy pour atteindre les autres serveurs infectés.

Il a été difficile d’analyser Kobalos à cause de son architecture condensée et de ses chaînes codées. De plus, il crypte également la communication venant des opérateurs de l’attaque et allant vers eux. Pour ce faire, il utilise un chiffrement de flux RC4 qui complique l’identification des opérateurs de l’attaque.

Les cibles de Kobalos

Kobalos est un malware multiplate-forme qui s’en prend aux systèmes d’exploitation Linux, BSD et Solaris. Les analystes pensent que des variantes du virus peuvent être aptes à s’attaquer aux systèmes AIX et Windows. Après avoir déterminé la signature de Kobalos, ESET a lancé des recherches à distance pour déterminer les appareils infectés par ce maliciel.

Les experts estiment que les victimes de Kobalos étaient essentiellement des clusters de calcul haute performance (HPC), des serveurs d’Université et du secteur de recherche. Un grand Fournisseur d’Accès Internet asiatique, une société américaine de sécurité des terminaux et une poignée de serveurs personnels sont aussi infectés par Kobalos.

Les experts ne savent pas encore par quel moyen les opérateurs ont pu implanter Kobalos dans le réseau des HPC. Ils ont émis une hypothèse selon laquelle les pirates ont pu profiter d’une faille. En effet, les systèmes infectés « exécutaient des systèmes d’exploitation et des logiciels anciens, non pris en charge ou non corrigés ».

Endiguer la propagation de Kobalos

Les experts ont déclaré que la performance de Kobalos est exceptionnelle comparée à celle de toutes les attaques qui ciblent les systèmes Linux. Cela leur a permis de confirmer que les créateurs du malware sont très compétents. Malgré leur attaque, les pirates n’ont pas usé de la performance des superordinateurs pour extraire de la cryptomonnaie. Kobalos n’a agi que pour voler le nom d’utilisateur, le mot de passe et le nom d’hôte des administrateurs. 

ESET a informé ceux qui ont subi l’attaque de Kobalos qu’ils pouvaient agir de concert pour l’identifier et contrer son attaque. Pour aider les victimes potentielles, les experts ont publié une étude technique complète sur ce maliciel. Cette analyse comprend des indicateurs de compromission (IoCs) qui leur permettent de repérer le malware.

D’après les études sur le sujet, l’utilisation d’une authentification à deux facteurs (2 FA) permet de limiter la propagation de Kobalos. Cela semble la meilleure solution puisque le virus se répand surtout en volant des identifiants.