|
|
|
Όπως αναφέρει το
Fortune, το όνομα της
απειλής είναι Kobalos και
προέρχεται από την
ελληνική μυθολογία,
καθώς οι Κόβαλοι ήταν
πανούργοι, μικροσκοπικοί
ακόλουθοι του Διόνυσου.
«Ονομάσαμε αυτό το
κακόβουλο λογισμικό
Kobalos (Κόβαλος) για το
μικρό μέγεθος του κώδικα
και τις πανούργες
μεθόδους που εφαρμόζει.
Στην ελληνική μυθολογία,
ο Κόβαλος είναι ένα
μικρό, πανούργο πλάσμα»,
εξήγησε ο Marc-Etienne
Léveillé.
«Πρέπει να σημειώσουμε
ότι αυτό το επίπεδο
πολυπλοκότητας σπάνια
εμφανίζεται σε κακόβουλο
λογισμικό Linux»,
πρόσθεσε.
Η ESET συνεργάστηκε με
την Ομάδα Ασφάλειας
Υπολογιστών του CERN και
άλλους οργανισμούς που
εμπλέκονται στη
αντιμετώπιση επιθέσεων
στα δίκτυα επιστημονικής
έρευνας. Μεταξύ των
στόχων σε Ευρώπη, Ασία
και Β. Αμερική έως τώρα
ήταν ένας μεγάλος
πάροχος υπηρεσιών
διαδικτύου (ISP), ένας
προμηθευτής λύσεων
endpoint security, καθώς
και αρκετοί ιδιωτικοί
servers.
Οι ερευνητές της ESET
έχουν επεξεργαστεί μέσω
ανάστροφης μηχανικής
(reverse engineering )
αυτό το μικρό, αλλά
περίπλοκο κακόβουλο
λογισμικό που είναι
φορητό σε πολλά
λειτουργικά συστήματα,
συμπεριλαμβανομένων των
Linux, BSD, Solaris και
πιθανώς AIX και Windows.
Το Kobalos είναι ένα
backdoor που περιέχει
εντολές που δεν
αποκαλύπτουν την πρόθεση
των εισβολέων. «Εν
ολίγοις, το Kobalos
παρέχει απομακρυσμένη
πρόσβαση στο σύστημα
αρχείων, δυνατότητα
αναπαραγωγής τερματικών
συνεδριών και επιτρέπει
συνδέσεις διακομιστή
μεσολάβησης σε άλλους
servers που έχουν
μολυνθεί από το Kobalos»,
λέει ο Léveillé.
Οποιοσδήποτε server
μολυνθεί από το Kobalos
μπορεί με μία μόνο
εντολή από τους
χειριστές να μετατραπεί
σε Command & Control
(C&C) server. Καθώς οι
διευθύνσεις IP και οι
θύρες του C&C server
είναι ενσωματωμένες στο
εκτελέσιμο πρόγραμμα, οι
χειριστές μπορούν στη
συνέχεια να
δημιουργήσουν νέα
δείγματα του Kobalos που
χρησιμοποιούν αυτόν τον
νέο C&C server. Επιπλέον,
στα περισσότερα
συστήματα που μολύνονται
από το Kobalos, ο
πελάτης SSH κλέβει τα
διαπιστευτήρια.
«Τα διαπιστευτήρια όσων
χρησιμοποιούν τον πελάτη
SSH σε ένα μολυσμένο
μηχάνημα καταγράφονται.
Αυτά τα διαπιστευτήρια
μπορούν στη συνέχεια να
χρησιμοποιηθούν από τους
εισβολείς για να
εγκαταστήσουν το Kobalos
στο νέο server»,
προσθέτει ο Léveillé. Η
δημιουργία ελέγχου
ταυτότητας δύο
παραγόντων για σύνδεση
σε διακομιστές SSH θα
μετριάσει την απειλή,
καθώς η χρήση κλεμμένων
διαπιστευτηρίων φαίνεται
να είναι ένας από τους
τρόπους με τους οποίους
μπορεί να διαδοθεί σε
διαφορετικά συστήματα.
Περισσότερες τεχνικές
λεπτομέρειες για το
Kobalos, μπορείτε να
διαβάσετε στο blogpost «Kobalos-
A complex Linux threat
to high performance
computing
infrastructure» στο
WeLiveSecurity. Επίσης,
περισσότερες ειδήσεις
ακολουθήστε στο twitter
την ομάδα ερευνητών της
ESET στο ESET Research.
|
|