Kobalos, malware que roba credenciales SSH de supercomputadoras.

Un nuevo malware recientemente descubierto por la firma de seguridad informática ESET, el cual ataca, entre otros servidores, a clústeres de ordenadores de alto rendimiento, mejor conocidos como supercomputadores.

Junto con el equipo de seguridad del CERN y otras organizaciones, ESET estuvo trabajando para mitigar los ataques contra redes de investigación científica.

Dicen que Kobalos tiene una base de código pequeña pero compleja que puede ejecutarse en otras plataformas UNIX (FreeBSD, Solaris). Algunos artefactos descubiertos durante el análisis indican que también puede haber variantes para los sistemas operativos AIX y Windows.

Kobalos es un backdoor genérico en el sentido de que contiene muchos comandos que no revelan la intención de los atacantes. En resumen, Kobalos garantiza el acceso remoto al sistema de archivos, brinda la capacidad de generar sesiones de terminal y permite establecer conexiones de proxy con otros servidores infectados por Kobalos.

Contenido de malware

Todo su código es contenido en una única función que se llama a sí misma de forma recursiva para realizar subtareas.

Esto hace que sea más difícil de analizar. Además, todas las strings están cifradas, por lo que es más difícil encontrar el código malicioso que al mirar las muestras de forma estática.

El uso del backdoor requiere una clave RSA privada de 512 bits y una contraseña de 32 bytes. Una vez autenticadas, las claves RC4 son intercambiadas y el resto de la comunicación es cifrada con ellas.

Resumimos el protocolo de red en el siguiente diagrama de secuencia.

ESET informa que la forma para mitigar la amenaza de este malware es configurar autenticación de doble factor para poder conectarse con los servidores SSH.

Fuente: ESET

Comments are closed.