Malware détecté par ESET et décrit dans le blog entreprise mardi, concerne des attaques contre des superordinateurs utilisés par un important fournisseur de services Internet (FAI) asiatique, un fournisseur américain de sécurité des terminaux et un certain nombre de serveurs privés, entre autres cibles.
L'équipe de cybersécurité a nommé le malware Kobalos d'après le kobalos, une petite créature de la mythologie grecque considérée comme exceptionnellement malveillante.
Kobalos est inhabituel pour plusieurs raisons. La base de code du malware est petite, mais suffisamment sophistiquée pour affecter au moins les systèmes d'exploitation Linux, BSD et Solaris. ESET soupçonne qu'il pourrait être compatible avec des attaques sur les machines AIX et Microsoft Windows.
En collaboration avec le groupe de sécurité informatique du CERN, ESET s'est rendu compte qu'un malware "multiplateforme unique" ciblait les clusters de calcul haute performance (HPC). Dans certains cas d'infection, il s'avère que des logiciels malveillants "tiers" interceptent les connexions au serveur SSH pour voler les informations d'identification, qui sont ensuite utilisées pour accéder aux clusters HPC et aux déploiements Kobalos.
La base de code Kobalos est minuscule, mais son impact ne l'est pas du tout.
Kobalos est essentiellement une porte dérobée. Une fois que le logiciel malveillant atteint le supercalculateur, le code s'enfouit dans l'exécutable du serveur OpenSSH et lance une porte dérobée si l'appel est effectué via un port de sortie TCP spécifique. D'autres options agissent comme médiateurs pour les connexions traditionnelles au serveur de commande et de contrôle (C2).
Kobalos donne à ses opérateurs un accès à distance aux systèmes de fichiers, leur permet d'exécuter des sessions de terminal et agit comme des points de connexion à d'autres serveurs infectés par des logiciels malveillants. ESET affirme que la caractéristique unique de Kobalos est sa capacité à transformer n'importe quel serveur compromis en C2 avec une seule commande.
"Nous n'avons pas été en mesure de déterminer les intentions des opérateurs de Kobalos", a commenté ESET. "Aucun autre logiciel malveillant, autre que le vol d'informations d'identification SSH, n'a été détecté par les administrateurs système sur les machines compromises. Nous espérons que les détails que nous révélons aujourd'hui dans notre nouvelle publication contribueront à sensibiliser à cette menace et à révéler son activité."
Lisez aussi: