Com um trabalho de engenharia reversa da ESET e descrita em uma postagem de blog, o malware chamado de Kobalos foi rastreado. Os pesquisadores constaram ataques contra supercomputadores usados ??por um grande provedor asiático de serviços de Internet (ISP), um fornecedor de segurança de endpoint dos EUA e uma série de servidores privados, entre outros alvos. Segundo esses pesquisadores, o malware para Linux sequestra supercomputadores em todo o mundo. Kobalos é uma pequena criatura na mitologia grega que, acredita-se, causa danos quase irreversíveis.
O Kobalos é incomum por vários motivos. A base de código do malware é pequena, mas sofisticada o suficiente para impactar os sistemas operacionais Linux, BSD e Solaris. A ESET suspeita que também possa ser compatível com ataques contra máquinas AIX e Microsoft Windows.
“É preciso dizer que esse nível de sofisticação raramente está no malware do Linux”, comentou o pesquisador de segurança cibernética Marc-Etienne Léveillé.
Malware Linux sequestra supercomputadores em todo o mundo
Enquanto trabalhava com a equipe de segurança de computadores do CERN, a ESET percebeu que o malware “único e multiplataforma” tinha como alvo clusters de computador de alto desempenho (HPC). Em alguns casos de infecção, parece que o malware ‘sidekick’ sequestra conexões de servidor SSH para roubar credenciais que são então usam para obter acesso a clusters HPC e implantar Kobalos.
“A presença desse ladrão de credenciais pode responder parcialmente como Kobalos se propaga”, diz a equipe.
Kobalos é, em essência, um backdoor. Assim que o malware atinge um supercomputador, o código se infiltra em um executável de servidor OpenSSH e aciona o backdoor se uma chamada for feita por meio de uma porta de origem TCP específica.
Outras variantes atuam como intermediários para conexões de servidor de comando e controle (C2) tradicionais.
Como funciona depois do ataque
A Kobalos concede a seus operadores acesso remoto a sistemas de arquivos. Assim, permite que eles gerem sessões de terminal. Além disso, também atua como pontos de conexão para outros servidores infectados com o malware.
A ESET afirma que uma faceta única do Kobalos é sua capacidade de transformar qualquer servidor com comprometimento em C2. Porém, isso ocorre por meio de um único comando.
Como os endereços IP e portas do servidor C2 são codificados no executável, os operadores podem gerar novas amostras Kobalos. Assim, usam esse novo servidor C2, observaram os pesquisadores.
Análise do malware
A análise do malware foi um desafio, pois todo o seu código está em uma “única função que se chama recursivamente para realizar subtarefas”, afirma a ESET. A empresa acrescenta que todas as strings estão com criptografia. Portanto, uma barreira adicional à engenharia reversa. A partir de agora, mais pesquisas precisam continuar sobre o malware. Assim, querem identificar o responsável por seu desenvolvimento.
Não foi possível determinar as intenções dos operadores de Kobalos”, comentou a ESET. “Nenhum outro malware, exceto o ladrão de credenciais SSH, foi encontrado pelos administradores do sistema das máquinas comprometidas. Esperançosamente, os detalhes que revelamos hoje em nossa nova publicação ajudarão a aumentar a conscientização sobre essa ameaça e colocar sua atividade sob o microscópio.
ZDNet