Startseite > Security > Supercomputer weltweit von Backdoor „Kobalos“ bedroht

Eset: Fernzugriff ermöglicht Kriminellen ungeahnte Möglichkeiten

Supercomputer weltweit von Backdoor „Kobalos“ bedroht

3. Februar 2021, 12:00 Uhr | Jörg Schröper

Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen – die Folgen wären fatal. Doch genau dies ist nach Entdeckungen von Eset-Forschern passiert. Unbekannte greifen mit der Backdoor Kobalos sogenannte HPC-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.

Kobalos ist für Linux, BSD und Solaris entwickelt, so Eset, und auch gewöhnliche Linux-Rechner geraten demnach in den Fokus. Codefragmente deuten auf Portierungen für AIX und Windows hin. Weitere technische Details zu Kobalos haben die Eset-Forscher auf dem Security-Blog „welivesecurity.de“ veröffentlicht.

„Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen“, erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. „Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen“, fügt er hinzu. Eset hat mit dem CERN-Computer-Security-Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf diese wissenschaftlichen Forschungsnetzwerke beteiligt sind.

„Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen“, sagt Thomas Uhlemann, Security Specialist bei Eset Deutschland. Die Verwendung gestohlener Anmeldeinformationen scheint eines der Einfallstore zu sein, durch das sich Kriminelle mit Kobalos Zugang zu verschiedene Systeme verschaffen konnten.

Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. Damit erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.

Was die Backdoor einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern. Jeder von der Malware kompromittierte Server kann sich in eine C&C-Instanz verwandeln – der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.

Hinzu kommt laut Eset, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.

Weitere technische Details zu Kobalos haben die Eset-Forscher auf dem Security-Blog „welivesecurity.de“ veröffentlicht: https://www.welivesecurity.com/deutsch/2021/02/02/kobalos-a-complex-linux-threat-to-high-performance-computing-infrastructure/.