Anzeige

Backdoor

Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen - die Folgen wären fatal. Doch genau dies ist nach Entdeckungen von ESET-Forschern passiert.

Unbekannte greifen mit der Backdoor Kobalos sogenannte Performance Computer (HPC)-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.

Kobalos wurde für Linux, BSD und Solaris entwickelt. Auch "normale" Linux-Rechner geraten in den Fokus. Codefragmente deuten auf Portierungen für AIX und Windows hin. 

"Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen", erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. "Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen", fügt er hinzu. 

"Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen", sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. "Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten."

So agiert Kobalos

Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. So erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.

Was die Backdoor einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern (kurz: C&C). Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden - der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.

Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.

www.eset.com/de/


Artikel zu diesem Thema

Whitepaper Starke Authentifizierung
Sep 01, 2020

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet…

Weitere Artikel

Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Phishing

Wachsende Gefahr durch OAuth-Attacken

Mit den bereits vor einigen Jahren eingeführten Applikationen auf Basis von Open Authorization (OAuth) konnten die großen Cloud-Plattformen wie Microsoft 365 und Google Workspace ihren Funktionsumfang vergrößern und gleichzeitig ihre Benutzeroberflächen…
Backdoor

Chinesische APT-Backdoor richtet sich gegen den russischen Verteidigungssektor

Das Cybereason Nocturnus Team untersucht in seinem Bericht die jüngsten Entwicklungen beim RoyalRoad Weaponizer, auch bekannt als 8.t Dropper / RTF Exploit Builder. Im Laufe der Jahre ist dieses Tool Bestandteil der Arsenale verschiedener chinesischer…
Hacker

Wenn Hacker Supply-Chains attackieren droht das Logistik-Chaos

Hackerangriffe bedrohen die globalen Lieferketten, wie eine Analyse der Logistikbranche der Sicherheitsforscher von BlueVoyant zeigt. In der Industrie könnten solche Attacken zu Chaos führen.
Hacker

Häufigste Cyber-Angriffe: Denial of Service und Passwort-Login

Denial-of-Service- (DoS) und Passwort-Login-Attacken wie Brute-Force- und Credential-Stuffing-Angriffe sind auf dem Vormarsch.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.