mediacongo.net - Actualités - Kobalos : un puissant malware dérobe les données d’identifications SSH



Retour Sur le net

Kobalos : un puissant malware dérobe les données d’identifications SSH

Kobalos : un puissant malware dérobe les données d’identifications SSH 2021-02-08
http://www.mediacongo.net/dpics/filesmanager/actualite/2021_actu/01-fevrier/08-14/malware_kobalos_21_0214.jpg -

Récemment, l’entreprise de cybersécurité ESET a détecté un malware qui s’attaque particulièrement aux supercalculateurs. Les chercheurs ont pu constater que le maliciel avait tendance à voler des identifiants SSH en utilisant un logiciel OpenSSH piégé.

Le malware est très sophistiqué. En plus d’avoir une taille très compacte, il possède de grandes performances qui ont mis en déroute les analystes. Voilà pourquoi ils l’ont appelé Kobalos en référence à des créatures mythologiques. Malheureusement, à cause de son niveau de sophistication, les experts n’ont pas pu découvrir le réel but des attaquants. Ce qui empêche également d’identifier les créateurs de ce virus informatique.
 
Un minuscule malware avec de grandes compétences

Dans la mythologie grecque, les kobalois étaient une troupe de lutins malfaisants réputés pour tourmenter et terroriser les mortels. Kobalos est donc un nom tout à fait approprié à ce malware. Avec sa taille de 24 Ko, il dispose de techniques d’obfuscation et d’anti-forensics qui lui sont uniques. Il se démarque aussi par son code encapsulé dans une seule fonction.

Cependant, en utilisant récursivement ce module (l’ensemble des codes), Kobalos peut prendre en charge jusqu’à 37 actions tout en exécutant plusieurs sous-tâches. L’un de ces processus lui permet d’exécuter un serveur de commande et de contrôle (C&C) à partir d’une machine compromise. En outre, il peut agir comme un proxy pour atteindre les autres serveurs infectés.

Il a été difficile d’analyser Kobalos à cause de son architecture condensée et de ses chaînes codées. De plus, il crypte également la communication venant des opérateurs de l’attaque et allant vers eux. Pour ce faire, il utilise un chiffrement de flux RC4 qui complique l’identification des opérateurs de l’attaque.

Les cibles de Kobalos

Kobalos est un malware multiplate-forme qui s’en prend aux systèmes d’exploitation Linux, BSD et Solaris. Les analystes pensent que des variantes du virus peuvent être aptes à s’attaquer aux systèmes AIX et Windows. Après avoir déterminé la signature de Kobalos, ESET a lancé des recherches à distance pour déterminer les appareils infectés par ce maliciel.

Les experts estiment que les victimes de Kobalos étaient essentiellement des clusters de calcul haute performance (HPC), des serveurs d’Université et du secteur de recherche. Un grand Fournisseur d’Accès Internet asiatique, une société américaine de sécurité des terminaux et une poignée de serveurs personnels sont aussi infectés par Kobalos.

Les experts ne savent pas encore par quel moyen les opérateurs ont pu implanter Kobalos dans le réseau des HPC. Ils ont émis une hypothèse selon laquelle les pirates ont pu profiter d’une faille. En effet, les systèmes infectés « exécutaient des systèmes d’exploitation et des logiciels anciens, non pris en charge ou non corrigés ».

Endiguer la propagation de Kobalos

Les experts ont déclaré que la performance de Kobalos est exceptionnelle comparée à celle de toutes les attaques qui ciblent les systèmes Linux. Cela leur a permis de confirmer que les créateurs du malware sont très compétents. Malgré leur attaque, les pirates n’ont pas usé de la performance des superordinateurs pour extraire de la cryptomonnaie. Kobalos n’a agi que pour voler le nom d’utilisateur, le mot de passe et le nom d’hôte des administrateurs. 

ESET a informé ceux qui ont subi l’attaque de Kobalos qu’ils pouvaient agir de concert pour l’identifier et contrer son attaque. Pour aider les victimes potentielles, les experts ont publié une étude technique complète sur ce maliciel. Cette analyse comprend des indicateurs de compromission (IoCs) qui leur permettent de repérer le malware.

D’après les études sur le sujet, l’utilisation d’une authentification à deux facteurs (2 FA) permet de limiter la propagation de Kobalos. Cela semble la meilleure solution puisque le virus se répand surtout en volant des identifiants.


buzzwebzine / MCP, via mediacongo.net
2218 suivent la conversation
1 commentaire(s)

Faites connaissance avec votre « Code MediaCongo »


Vous avez sans doute remarqué un nouveau code à 7 caractères affiché à droite de votre Nom/Pseudo, par exemple « AB25CDF ».
Il s’agit de Votre Code MediaCongo, unique à chaque utilisateur, et qui permet de faire la différence entre utilisateurs ayant le même Nom ou Pseudo.

Nous avons en effet reçu des réclamations d’utilisateurs se plaignant de confusion dans les commentaires ou dans les « Petites annonces » avec d’autres utilisateurs ayant respectivement les mêmes noms.

Notre seul objectif et engagement est de continuer de vous offrir un service de qualité. N’hésitez pas à écrire à support@mediacongo.net si vous avez des questions ou suggestions.


Merci et excellente expérience sur mediacongo.net

MediaCongo – Support Utilisateurs

Marjut SANTONI | 5GAUZQD - posté le 08.02.2021 à 10:39

Je suis ici pour vous informer de notre investissement dans l'argent qui est partout dans le monde. Voici les offres: 100 $, ce qui donne 1.000 $ 200 $, ce qui donne 2.000 300 $, ce qui donne 3.000 400 $, ce qui donne 4.000 500 $, ce qui donne 5.000 $ 1.000 $, ce qui produit 10.000 $ 2.000, qui produit 20.000 $ 5.000 $, ce qui produit 50.000 $ 10.000 $, ce qui donne 100.000 $ 20.000 $, ce qui donne 20.0000 $ 50.000 $, ce qui donne 500.000 $ Si vous êtes intéressé par notre argent d'investissement, veuillez nous recontacter pour avoir plus d'informations sur notre banque européenne d'investissement BEI. Mail : santonimarjut63@gmail.com

Non 0
Oui 0
Êtes-vous d'accord avec ce commentaire ?


right
ARTICLE SUIVANT : Yahoo! réduit la voilure
left
ARTICLE Précédent : Facebook sait qu'Instagram nuit à la santé mentale des adolescentes