'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Nieuwe malware gericht op wetenschappelijke onderzoeksnetwerken

Nieuwe malware gericht op wetenschappelijke onderzoeksnetwerken

Gepubliceerd op 4 februari 2021 om 08:00

Cybercrime onderzoekers hebben 'Kobalos' ontdekt, malware die supercomputers – zogenaamde high performance computer (HPC) clusters - heeft aangevallen. De onderzoekers werkten samen met het 'CERN Computer Security Team' en andere organisaties die betrokken zijn bij het inperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Onder de doelwitten bevonden zich onder andere een grote Aziatische Internet providers een Noord-Amerikaanse leverancier van endpoint security, alsook verscheidene private servers.

Industrie en regio van gecompromitteerde organisaties

Malware reverse-engineered

SET-onderzoekers hebben de kleine, maar complexe malware reverse-engineered. Hieruit bleek dat de malware overdraagbaar is naar vele besturingssystemen waaronder Linux, BSD, Solaris, en mogelijk ook AIX en Windows. " Wij hebben deze malware Kobalos genoemd vanwege zijn kleine codegrootte en vele trucs; in de Griekse mythologie is een Kobalos een klein, ondeugend schepsel," legt Marc-Etienne Léveillé, die Kobalos onderzocht, uit. "Het moet gezegd worden dat dit niveau van verfijning slechts zelden wordt gezien in Linux malware," vervolgt Léveillé.

Backdoor met commando's

Kobalos is een backdoor die uitgebreide commando's bevat die de intentie van de aanvallers niet onthullen. "In het kort geeft Kobalos op afstand toegang tot het file system, biedt het de mogelijkheid om terminalsessies op te starten en staat het proxyverbindingen toe naar andere met Kobalos geïnfecteerde servers," zegt Léveillé.

Elke server die door Kobalos is gecompromitteerd, kan door de operators met één enkel commando worden omgevormd tot een Command & Control (C&C) server. Aangezien de IP-adressen en poorten van de C&C-server in de executables zijn gecodeerd, kunnen de operators vervolgens nieuwe Kobalos-bestanden genereren die deze nieuwe C&C-server gebruiken. Bovendien wordt in de meeste systemen die door Kobalos zijn gecompromitteerd, de client voor beveiligde communicatie (SSH) gecompromitteerd om inloggegevens te stelen.

Overzicht van Kobalos-functies en manieren om ze te openen

"Van iedereen die de SSH-client van een gecompromitteerde machine gebruikt, worden de inloggegevens onderschept. Die inloggegevens kunnen vervolgens door de aanvallers worden gebruikt om vervolgens Kobalos op de nieuw ontdekte server te installeren," aldus Léveillé. Het instellen van tweefactorauthenticatie voor het verbinden met SSH-servers zal de dreiging dan ook verminderen. Het gebruik van gestolen inloggegevens lijkt namelijk één van de manieren te zijn waarop het virus zich steeds verder kan verspreiden naar andere systemen.

Malware Kobalos
PDF – 1,7 MB 41 downloads

Bron: eset.com

Meer info over ‘malware’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.


«   »