Linux betragtes generelt som et mere sikkert operativsystem end Windows. Sandheden er, at hackere sætter deres syn på, hvor der er flere brugere og derfor flere muligheder for succes. I denne artikel ekko vi Kobalos , en ny trussel, der påvirker Linux, og som har til formål at stjæle SSH-legitimationsoplysninger gennem tidligere angrebet OpenSSH-software.
Kobalos, en Linux-trussel, der stjæler SSH-legitimationsoplysninger
En gruppe sikkerhedsforskere har opdaget dette problem, der påvirker Linux-systemer. Det er en ondsindet ændret version af OpenSSH . Det kan bruges til at stjæle SSH-legitimationsoplysninger. Det er blevet kaldt Kobalos, og de indikerer, at det er komplekst og vildledende.
Denne Kobalos bagdør rammer nogle vigtige mål, herunder nogle regeringssystemer, europæiske universiteter og endda internetoperatører. Oprindeligt er det blevet bekræftet, at det påvirker Linux-, FreeBSD- og Solaris-operativsystemerne, men eksperter antyder, at der kan være varianter af denne malware, der også påvirker Windows.
ESET sikkerhedsforskere konverterede Kobalos til at scanne internettet for ofre for denne malware. I de fleste tilfælde påvirkede det systemer og supercomputere, men de fandt også private servere, der blev angrebet.
ESET var ikke i stand til at etablere den indledende angrebsvektor, der tillod hackere at få administrativ adgang til at installere Kobalos. Men nogle af de kompromitterede systemer "Kørte på ældre, ikke-understøttede eller ikke-patchede operativsystemer og software", så udnyttelse af en kendt sårbarhed er et sandsynligt scenario.
Selvom forskerne brugte måneder på at analysere malware, kunne de ikke bestemme dets nøjagtige formål på grund af de inkluderede generiske kommandoer og ingen specifik nyttelast.
Kobalos giver fjernadgang til filsystemet og kan generere terminalsessioner, der gør det muligt for angribere at udføre vilkårlige kommandoer. På computere, hvor de kunne analyseres yderligere, opdagede de, at der var en OpenSSH-klient forvandlet til en Trojan. På denne måde kunne jeg registrere brugernavnet, adgangskoden og navnet på destinationsværten.
Det mener forskere legitimationstyveri kunne forklare, hvordan malware spreder sig til andre systemer på det samme netværk eller andre netværk i den akademiske verden, da studerende og forskere fra flere universiteter kan have SSH-adgang til puljer af supercomputere.
Meget let malware
Et af de kendetegn, som forskere mest overrasker, er at det er en lille malware , som kun optager 24 KB. På trods af sin lille størrelse er det dog et ret komplekst stykke malware og har tiltrækningsteknikker, der gør det vanskeligt at analysere.
I sin kodebase inkluderer den kode til at køre en kommando- og kontrolserver. Så de kunne konvertere enhver server, der tidligere er blevet angrebet.
For at afbøde angreb anbefaler sikkerhedsfirmaet, at brugerne aktiverer tofaktorautentificering for at oprette forbindelse til SSH-servere. ESET siger, at dets værktøjer registrerer malware som Linux / Kobalos eller Linux / Agent.IV, mens SSH-legitimationsstealer opdages som Linux / SSHDoor.EV, Linux / SSHDoor.FB eller Linux / SSHDoor.FC.