Diese Rechner sollten mit ihrer enormen Power eigentlich nicht in die Hände Krimineller gelangen.
Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen – die Folgen wären fatal. Doch genau dies ist nach Entdeckungen des Sicherheitsspezialisten ESET passiert. Unbekannte greifen mit der Malware „Kobalos“ sogenannte Performance Computer (HPC)-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer Internet Service Provider, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.
Beindruckender „Grad an Raffinesse“
Kobalos wurde für Linux, BSD und Solaris entwickelt. Auch „normale“ Linux-Rechner geraten laut den ESET-Forschern in den Fokus. Codefragmente deuteten auf Portierungen für AIX und Windows hin. „Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen“, erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. „Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen“, fügt er hinzu. ESET hat mit dem CERN Computer Security Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf diese wissenschaftlichen Forschungsnetzwerke beteiligt sind.
„Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen“, sagt Thomas Uhlemann, Security Specialist bei ESET. „Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten.“
So agiert Kobalos
Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. So erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.
Was die Schadsoftware einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern (kurz: C&C). Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden – der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.
Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.
Externer Link
Weitere technische Details zu Kobalos haben die ESET-Forscher auf dem Security-Blog „welivesecurity“ veröffentlicht.