Anzeige

Backdoor

Supercomputer sollten mit ihrer enormen Rechenpower nicht in die Hände Krimineller gelangen - die Folgen wären fatal. Doch genau dies ist nach Entdeckungen von ESET-Forschern passiert.

Unbekannte greifen mit der Backdoor Kobalos sogenannte Performance Computer (HPC)-Cluster erfolgreich an und erhalten weitreichenden Zugriff. Zu den Opfern gehören unter anderen ein großer asiatischer ISP, ein nordamerikanischer Endpoint-Security-Anbieter sowie mehrere Server von Unternehmen und Regierungsbehörden.

Kobalos wurde für Linux, BSD und Solaris entwickelt. Auch "normale" Linux-Rechner geraten in den Fokus. Codefragmente deuten auf Portierungen für AIX und Windows hin. 

"Wir haben diese Malware aufgrund ihrer winzigen Codegröße und ihrer vielen Tricks Kobalos getauft. In der griechischen Mythologie ist ein Kobalos ein kleines, schelmisches Wesen", erklärt Marc-Etienne Léveillé, der die Backdoor untersucht hat. "Selten haben wir diesen Grad an Raffinesse bei Linux-Malware gesehen", fügt er hinzu. 

"Die Einrichtung einer Zwei-Faktor-Authentifizierung für die Verbindung zu SSH-Servern kann diese Art von Bedrohung eindämmen", sagt Thomas Uhlemann, Security Specialist bei ESET Deutschland. "Die Verwendung gestohlener Anmeldeinformationen scheint eine der Möglichkeiten zu sein, wie sich Kriminelle mit Kobalos auf verschiedene Systeme verbreiten konnten."

So agiert Kobalos

Kobalos ist eine generische Backdoor, die von Kriminellen umfassende Befehle für ihre illegalen Machenschaften enthält. So erhalten Angreifer beispielsweise Remote-Zugriff auf das Dateisystem, können Terminalsitzungen erzeugen und sogar über Proxy-Verbindungen Kontakt zu anderen mit Kobalos infizierten Servern aufbauen.

Was die Backdoor einzigartig macht: Der Code zum Ausführen von Kobalos befindet sich auf den Command-and-Control-Servern (kurz: C&C). Jeder von der Malware kompromittierte Server kann in eine C&C-Instanz verwandelt werden - der Angreifer muss lediglich einen einzigen Befehl senden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest einprogrammiert sind, können die Hacker anschließend neue Kobalos-Samples generieren, die diesen neuen Befehls-Server verwenden.

Hinzu kommt, dass die Malware einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort verwendet, um das Entdecken durch Sicherheitslösungen zu erschweren. Durch die Verschlüsselung ist der eigentliche schädliche Code nur schwer zu entdecken und zu analysieren.

www.eset.com/de/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Whitepaper Starke Authentifizierung
Sep 01, 2020

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet…

Weitere Artikel

Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!