Avec une part de mystère concernant les intentions des attaquants, le malware Kobalos est présenté par les chercheurs de l'éditeur de solutions de cybersécurité ESET comme un malware Linux sophistiqué. Il cible notamment - mais pas seulement - des clusters de calcul haute performance en Europe.

Kobalos permet d'obtenir un accès à distance au système de fichiers, créer des sessions de terminal, avec également la possibilité de connexions par proxy à d'autres serveurs infectés.

Parmi les méthodes afin que les opérateurs soient en mesure d'atteindre une machine infectée par Kobalos, le malware est intégré dans l'exécutable du serveur OpenSSH et déclenche le code backdoor si la connexion émane d'un port source TCP spécifique.

kobalos-acces-eset

Une commande pour devenir un serveur C&C

D'après ESET, n'importe quel serveur compromis par Kobalos peut être transformé en un serveur de commande et contrôle via l'envoi d'une seule commande par les opérateurs. Les adresse IP et ports du serveur de commande et contrôle sont codés en dur dans le malware.

Dans la plupart des systèmes infectés par Kobalos, le client SSH est compromis pour dérober des identifiants. Dès lors, quiconque utilisant le client SSH d'une machine compromise aura ses identifiants capturés.

Les chercheurs d'ESET concèdent que le code de Kobalos est difficile à analyser. Il tient dans une seule fonction qui s'appelle de manière récursive pour effectuer des sous-tâches. Le malware est aussi difficile à trouver.

Des indicateurs de compromission sont disponibles sur un GitHub d'ESET. Le malware est capable d'infecter d'autres systèmes que Linux, comme BSD et Solaris. Pour AIX et Windows (anciennes plateformes), ce serait également probable.