Supercomputer werden mit Backdoor Kobalos angegriffen

(Quelle: Pixabay/B_A)

Supercomputer werden mit Backdoor Kobalos angegriffen

(Quelle: Pixabay/B_A)
3. Februar 2021 - Sicherheitsspezialisten von Eset haben herausgefunden, dass Unbekannte sogenannte Performance Computer (HPC)-Cluster mit der Backdoor Kobalos angreifen und so weitreichenden Zugriff auf die Supercomputer erhalten.
Eset warnt vor einer neuen Malware, die von den Sicherheitsexperten des Unternehmens Kobalos getauft wurde. "Wir haben diese Malware aufgrund ihrer winzigen Codegrösse und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen", erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. "Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen", fügt er hinzu. Kobalos wird eingesetzt, um sogenannte Performance Computer (HPC)-Cluster weltweit anzugreifen. Zu den Opfern sollen unter anderen ein grosser asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden gehören, so Eset.

Die Malware soll laut den Sicherheitsforschern auf viele Betriebssysteme wie Linux, BSD, Solaris und möglicherweise AIX und Windows portierbar sein. Kobalos ist eine generische Backdoor, mit der Angreifer beispielsweise Remote-Zugriff auf das
Dateisystem erhalten, Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen können. Einzigartig ist Kobalos deshalb, weil sich der Code zum Ausführen der Malware auf
den Command-and-Control-Servern (kurz: C&C) befindet. Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden – der Angreifer muss dafür lediglich einen einzigen Befehl senden. Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren.
Eingedämmt werden können die Angriffe durch Kobalos laut Thomas Uhlemann, Security Specialist bei Eset Deutschland, durch die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern: "Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten."

Bereits im vergangenen Jahr gab es weltweit Angriffe auf Supercomputer, von denen auch solche in der Schweiz betroffen waren ("Swiss IT Magazine" berichtete), allerdings stehen diese vermutlich nicht im Zusammenhang mit Kobalos. (luc)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER