Malware visa clusters de alto desempenho

Views: 470
0 0
Read Time:3 Minute, 4 Second

Backdoor é capaz de atingir máquinas Linux, FreeBSD, Solaris e possivelmente AIX e Windows

Clusters de computação de alto desempenho pertencentes a redes universitárias, bem como servidores associados a agências governamentais, fornecedores de segurança de endpoint e provedores de serviços de internet (ISPs) estão vulneráveis a uma backdoor recém-descoberta que dá aos invasores a possibilidade de executar comandos arbitrários nos sistemas remotamente.

A empresa de segurança cibernética ESET chamou o malware de “Kobalos” — uma homenagem a uma “criatura travessa” de mesmo nome da mitologia grega — por seu “tamanho de código minúsculo e muitos truques”.

“Kobalos é uma porta dos fundos genérica no sentido de que contém comandos amplos que não revelam a intenção dos invasores”, disseram os pesquisadores Marc-Etienne Léveillé e Ignacio Sanmillan em uma análise na terça-feira da semana passada, 13. Segundo eles, o Kobalos concede acesso remoto ao sistema de arquivos, oferece a capacidade de gerar sessões de terminal e permite conexões proxy para outros servidores infectados pelo malware.

Além de rastrear o malware até ataques contra uma série de alvos de alto perfil, a ESET disse que o malware é capaz de atingir máquinas Linux, FreeBSD, Solaris e possivelmente AIX e Windows, com referências de código que sugerem o legado do Windows 3.11 e do Windows 95.

Acredita-se que as infecções por Kobalos começaram no final de 2019 e, desde então, continuaram ativas ao longo de 2020. O vetor de comprometimento inicial usado para implantar o malware e o objetivo final do operador da ameaça permanece obscuro, mas a presença de um cliente OpenSSH “trojanizado” em um dos sistemas comprometidos alude à possibilidade de que o roubo de credenciais pode ser uma das maneiras do Kobalos se propagar.

Nenhum outro artefato de malware foi encontrado nos sistemas, nem houve qualquer evidência que pudesse revelar a intenção dos invasores, segundo os pesquisadores. “Não encontramos nenhuma pista que indique se eles roubam informações confidenciais, buscam ganho monetário ou estão atrás de outra coisa.”

Mas o que eles descobriram mostra que o malware multiplataforma contém algumas técnicas incomuns, incluindo recursos que podem transformar qualquer servidor comprometido em um servidor de comando e controle (C&C) para outros hosts comprometidos pelo Kobalos.

Em outras palavras, as máquinas infectadas podem ser usadas como proxies que se conectam a outros servidores comprometidos, que podem então ser aproveitados pelos operadores para criar amostras Kobalos que usam este novo servidor C&C para criar uma cadeia de proxy composta por vários servidores infectados para alcançar seus alvos.

Para manter a discrição, o Kobalos autentica conexões com máquinas infectadas usando uma senha de 32 bytes que é gerada e criptografada com uma chave privada RSA de 512 bits. Subsequentemente, um conjunto de chaves RC4 é usado — uma para o tráfego de entrada e para o tráfego de saída — para comunicações com o servidor C&C.

A porta dos fundos também aproveita um mecanismo de ofuscação complexo para impedir a análise forense, chamando recursivamente o código para realizar uma ampla gama de subtarefas. “Os vários recursos bem implementados e as técnicas de evasão de rede mostram que os invasores por trás do Kobalos têm muito mais conhecimento do que o autor de malware típico voltado para o Linux e outros sistemas não Windows”, disseram os pesquisadores.“

Seus alvos, por serem bastante notórios, também mostram que o objetivo dos operadores Kobalos não é comprometer o máximo de sistemas possível. Sua pequena pegada e técnicas de evasão de rede podem explicar por que não foi detectado até que abordamos as vítimas com os resultados de nossa varredura em toda a Internet.”

FONTE: CISO ADVISOR

POSTS RELACIONADOS