Una nueva puerta trasera ha estado apuntando a supercomputadoras de todo el mundo, a menudo robando las credenciales para conexiones de red seguras mediante el uso de una versión troyanizada del software OpenSSH.
El malware no está muy extendido y parece apuntar principalmente a computadoras de alto rendimiento (HPC) y servidores en redes académicas y de investigación.
Objetivos multiplataforma de alto perfil
Los investigadores de seguridad de la empresa de ciberseguridad ESET descubrieron el malware y lo llamaron Kobalos, en honor a la criatura que se porta mal en la mitología griega.
Dicen que Kobalos tiene una base de código pequeña pero compleja que se puede ejecutar en diversas plataformas UNIX (FreeBSD, Solaris). Algunos detalles descubiertos durante el análisis indican que también puede haber variantes para los sistemas operativos AIX y Windows.
Después de crear una huella digital para esta amenaza, ESET realizó escaneos en Internet para encontrar víctimas de Kobalos. Descubrieron que muchos de los sistemas comprometidos eran supercomputadoras y servidores del sector académico y de investigación. Otras víctimas incluyen un proveedor de seguridad de software de América del Norte cuyo nombre no ha sido revelado, un gran ISP en Asia, agencias de marketing y proveedores de hosting (alojamiento).
ESET no ha podido establecer el vector de ataque inicial que permitió a los ciberdelincuentes obtener acceso administrativo para instalar Kobalos. Sin embargo, algunos de los sistemas comprometidos funcionaban con sistemas operativos y software antiguos, sin soporte o sin parches, por lo que la explotación de una vulnerabilidad conocida es un escenario probable.
Robando credenciales de SSH
Aunque los investigadores pasaron meses analizando el malware, no pudieron determinar su propósito exacto debido a los comandos genéricos incluidos y sin una carga útil específica.
Kobalos proporciona acceso remoto al sistema de archivos y puede generar sesiones de terminal, lo que permite a los atacantes ejecutar comandos arbitrarios. Sin embargo, hay algunos detalles disponibles.
Según se puede leer en el informe presentado por ESET de esta amenaza:
En las máquinas comprometidas cuyos administradores de sistema pudieron investigar más a fondo, descubrimos que había un ladrón de credenciales SSH en forma de un cliente OpenSSH troyanizado. El archivo / usr / bin / ssh fue reemplazado por un ejecutable modificado que registró el nombre de usuario, la contraseña y el nombre de host de destino, y los escribió en un archivo encriptado
https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-
Los investigadores creen que el robo de credenciales podría explicar cómo el malware se propaga a otros sistemas en la misma red u otras redes en el sector académico, ya que los estudiantes e investigadores de múltiples universidades pueden tener acceso SSH a grupos de supercomputadoras.
A pesar de ser un malware muy liviano, solo 24KB que puede operar en plataformas de 32/64 bits, Kobalos es una pieza compleja de malware con técnicas personalizadas de ofuscación y anti-forenses que dificultan su análisis y con muchas características para su pequeño tamaño.
Una característica interesante que distingue a Kobalos es que su código está empaquetado en una sola función y solo hay una llamada desde el código legítimo de OpenSSH. Sin embargo, tiene un flujo de control no lineal, que llama de forma recursiva a esa función para realizar subtareas; admite un total de 37 acciones, una de las cuales puede convertir cualquier computadora comprometida en un servidor de comando y control (C2) para otras.
Los investigadores de ESET descubrieron que los ciberdelincuentes tienen tres opciones para conectarse a Kobalos:
- abrir un puerto TCP y esperar una conexión entrante (a veces llamada puerta trasera pasiva)
- conectarse a otra instancia de Kobalos configurada para ejecutarse como servidor C2 (Comando & Control)
- esperar la conexión a un servicio legítimo que ya se esté ejecutando pero que provenga de un puerto de origen TCP específico
Kobalos también cifra el tráfico hacia y desde los atacantes. Para lograr esto, los clientes deben autenticarse usando una clave RSA-512 y una contraseña. La clave genera y cifra dos claves de 16 bytes que cifran la comunicación mediante el cifrado de flujo RC4.
Además, la puerta trasera puede cambiar la comunicación a un puerto alternativo y actuar como un proxy (encadenable) para llegar a otros servidores comprometidos.
Dado el pequeño tamaño del código y la potencia que contiene este malware, ESET dice que la sofisticación de Kobalos rara vez se ve en el malware de Linux, lo que indica que el desarrollador de este malware cuenta con habilidades muy superiores al desarrollador promedio de malware de Linux.
Si bien la complejidad del malware es indiscutible, quedan dudas sobre el objetivo del atacante y el período en que Kobalos ha estado en uso (algunas de las líneas de código encontradas dentro de su codigo se relacionan con Windows 3.11 y Windows 95, que tienen más de 25 años de antiguedad).
Lo cierto es que Kobalos está robando credenciales SSH de víctimas de alto perfil que incluyen clústeres de computadoras de alto rendimiento y que ha estado activo antes de otros ataques contra supercomputadoras registrados desde finales de 2019.
Además, a diferencia de los incidentes ya reportados que involucran redes HPC, los ciberdelincuentes al mando de este malware no hicieron ningún intento de minar criptomonedas o ejecutar tareas computacionalmente costosas.
ESET notificó a todas las víctimas de Kobalos que pudieron identificar en la red y trabajó con los afectados para remediar el problema. Los investigadores publicaron un análisis técnico completo de Kobalos que incluye indicadores de compromiso (IoC) que pueden ayudar a las víctimas potenciales a detectar el malware
