La rétro-ingénierie du malware et sa description ont été réalisées par ESET. La base du code de Kobalos est minuscule, mais pas son impact. Le malware a été retracé au cours des attaques contre des supercalculateurs utilisés par un grand fournisseur d’accès Internet asiatique, un fournisseur de sécurité des terminaux américain et un certain nombre de serveurs privés, entre autres cibles.
Un malware inhabituel
Kobalos est inhabituel pour un certain nombre de raisons. La base de son code est minuscule, mais suffisamment sophistiquée pour avoir au moins un impact sur les systèmes d’exploitation Linux, BSD et Solaris. ESET soupçonne qu’il peut également être compatible avec les attaques contre les machines AIX et Microsoft Windows. Selon le chercheur en cybersécurité Marc-Étienne Léveillé, il faut dire que ce niveau de sophistication n’est que rarement vu dans les malwares Linux.
Tout en travaillant avec l’équipe de sécurité informatique du CERN, ESET a réalisé que ce malware unique et multiplateforme ciblait les grappes d’ordinateurs haute performance (HPC). Dans certains cas d’infection, il semble que les logiciels malveillants sidekick détournent les connexions du serveur SSH pour voler les informations d’identification qui sont ensuite utilisées pour obtenir l’accès aux clusters HPC afin de déployer Kobalos. La présence de ce voleur d’informations d’identification peut partiellement expliquer comment Kobalos se propage.
Kobalos, une porte dérobée
Kobalos est par essence une porte dérobée. Une fois que le malware a atterri sur un supercalculateur, le code s’enfonce dans un exécutable serveur OpenSSH. Il déclenchera ensuite la porte dérobée si un appel est effectué via un port source TCP spécifique. D’autres variantes agissent comme des intermédiaires pour les connexions serveur traditionnelles de commande et de contrôle (C2).
Kobalos accorde à ses opérateurs un accès à distance aux systèmes de fichiers. Cela leur permet de générer des sessions de terminal et leur sert également de points de connexion à d’autres serveurs infectés par le malware. ESET dit que la capacité de Kobalos à transformer n’importe quel serveur compromis en C2 via une seule commande est une caractéristique unique du malware. Comme les adresses IP et les ports du serveur C2 sont codés en dur dans l’exécutable, les opérateurs peuvent alors générer de nouveaux échantillons Kobalos qui utilisent ce nouveau serveur C2.
Des recherches supplémentaires sont nécessaires
L’analyse du logiciel malveillant relevait d’un vrai défi. Selon les explications d’ESET, tout son code est en effet conservé dans une fonction unique qui s’appelle de manière récursive pour effectuer des sous-tâches. ESEt ajoute que toutes les chaînes sont cryptées comme un obstacle supplémentaire à l’ingénierie inverse. À partir de maintenant, des recherches supplémentaires doivent être menées sur le malware et sur qui pourrait être responsable de son développement.
Les chercheurs n’ont pas été en mesure de déterminer les intentions des opérateurs de Kobalos. Aucun autre malware, à l’exception du voleur d’informations d’identification SSH, n’a été trouvé par les administrateurs système des machines compromises. Les chercheurs espèrent que les détails qu’ils ont révélés aideront à sensibiliser contre cette menace et à la comprendre.
- Partager l'article :