Close Menu
    Le meilleur de la POP culture

    Kobalos : un puissant malware dérobe les données d’identifications SSH

    Nick OlaizolaPar 4 MinutesAucun commentaireMis à jour le

    Récemment, l’entreprise de cybersécurité ESET a détecté un malware qui s’attaque particulièrement aux supercalculateurs. Les chercheurs ont pu constater que le maliciel avait tendance à voler des identifiants SSH en utilisant un logiciel OpenSSH piégé.

    Puissant malware

    Le malware est très sophistiqué. En plus d’avoir une taille très compacte, il possède de grandes performances qui ont mis en déroute les analystes. Voilà pourquoi ils l’ont appelé Kobalos en référence à des créatures mythologiques. Malheureusement, à cause de son niveau de sophistication, les experts n’ont pas pu découvrir le réel but des attaquants. Ce qui empêche également d’identifier les créateurs de ce virus informatique.

    Un minuscule malware avec de grandes compétences

    Dans la mythologie grecque, les kobalois étaient une troupe de lutins malfaisants réputés pour tourmenter et terroriser les mortels. Kobalos est donc un nom tout à fait approprié à ce malware. Avec sa taille de 24 Ko, il dispose de techniques d’obfuscation et d’anti-forensics qui lui sont uniques. Il se démarque aussi par son code encapsulé dans une seule fonction.

    Cependant, en utilisant récursivement ce module (l’ensemble des codes), Kobalos peut prendre en charge jusqu’à 37 actions tout en exécutant plusieurs sous-tâches. L’un de ces processus lui permet d’exécuter un serveur de commande et de contrôle (C&C) à partir d’une machine compromise. En outre, il peut agir comme un proxy pour atteindre les autres serveurs infectés.

    Il a été difficile d’analyser Kobalos à cause de son architecture condensée et de ses chaînes codées. De plus, il crypte également la communication venant des opérateurs de l’attaque et allant vers eux. Pour ce faire, il utilise un chiffrement de flux RC4 qui complique l’identification des opérateurs de l’attaque.

    Les cibles de Kobalos

    Kobalos est un malware multiplate-forme qui s’en prend aux systèmes d’exploitation Linux, BSD et Solaris. Les analystes pensent que des variantes du virus peuvent être aptes à s’attaquer aux systèmes AIX et Windows. Après avoir déterminé la signature de Kobalos, ESET a lancé des recherches à distance pour déterminer les appareils infectés par ce maliciel.

    Les experts estiment que les victimes de Kobalos étaient essentiellement des clusters de calcul haute performance (HPC), des serveurs d’Université et du secteur de recherche. Un grand Fournisseur d’Accès Internet asiatique, une société américaine de sécurité des terminaux et une poignée de serveurs personnels sont aussi infectés par Kobalos.

    Les experts ne savent pas encore par quel moyen les opérateurs ont pu implanter Kobalos dans le réseau des HPC. Ils ont émis une hypothèse selon laquelle les pirates ont pu profiter d’une faille. En effet, les systèmes infectés « exécutaient des systèmes d’exploitation et des logiciels anciens, non pris en charge ou non corrigés ».

    VOIR AUSSI : Comment sécuriser vos appareils contre les virus informatiques et le vol

    Endiguer la propagation de Kobalos

    Les experts ont déclaré que la performance de Kobalos est exceptionnelle comparée à celle de toutes les attaques qui ciblent les systèmes Linux. Cela leur a permis de confirmer que les créateurs du malware sont très compétents. Malgré leur attaque, les pirates n’ont pas usé de la performance des superordinateurs pour extraire de la cryptomonnaie. Kobalos n’a agi que pour voler le nom d’utilisateur, le mot de passe et le nom d’hôte des administrateurs

    ESET a informé ceux qui ont subi l’attaque de Kobalos qu’ils pouvaient agir de concert pour l’identifier et contrer son attaque. Pour aider les victimes potentielles, les experts ont publié une étude technique complète sur ce maliciel. Cette analyse comprend des indicateurs de compromission (IoCs) qui leur permettent de repérer le malware.

    D’après les études sur le sujet, l’utilisation d’une authentification à deux facteurs (2 FA) permet de limiter la propagation de Kobalos. Cela semble la meilleure solution puisque le virus se répand surtout en volant des identifiants.

    Notez cet article

    BuzzWebzine est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :

    Suis-nous sur Google ⭐➡️
    Tech & Geek
    Partager
    Nick Olaizola

    News, astuces et bonnes pratiques, je vous partage ce qui me passionne en essayant de répondre au mieux à vos questions.

    Articles similaires

    Laisser une réponse