Linux pidetään yleensä turvallisempana käyttöjärjestelmänä kuin Windows. Totuus on, että hakkerit suuntaavat siihen, missä on enemmän käyttäjiä, ja siksi enemmän vaihtoehtoja menestykseen. Tässä artikkelissa toistamme Kobalos , uusi uhka, joka vaikuttaa Linuxiin ja jonka tarkoituksena on varastaa SSH-tunnistetiedot aiemmin hyökätyn OpenSSH-ohjelmiston avulla.
Kobalos, Linux-uhka, joka varastaa SSH-tunnistetiedot
Ryhmä turvallisuustutkijoita on havainnut tämän ongelman, joka vaikuttaa Linux-järjestelmiin. Se on haitallisesti muokattu versio OpenSSH . Sitä voidaan käyttää varastamaan SSH-tunnistetietoja. Sitä kutsutaan nimellä Kobalos ja ne osoittavat, että se on monimutkainen ja harhaanjohtava.
Tämä Kobaloksen takaovi on osumassa joihinkin tärkeisiin kohteisiin, mukaan lukien jotkut hallitusjärjestelmät, eurooppalaiset yliopistot ja jopa Internet-operaattorit. Alun perin on vahvistettu, että se vaikuttaa Linux-, FreeBSD- ja Solaris-käyttöjärjestelmiin, mutta asiantuntijat ilmoittavat, että tästä haittaohjelmasta voi olla muunnelmia, jotka vaikuttavat myös Windowsiin.
ESET tietoturvatutkijat käänsivät Kobalosin suunnittelemaan Internetin etsimään tämän haittaohjelman uhreja. Useimmissa tapauksissa se vaikutti järjestelmiin ja supertietokoneisiin, mutta he löysivät myös yksityisiä palvelimia, joihin hyökättiin.
ESET ei pystynyt luomaan alkuperäistä hyökkäysvektoria, joka antoi hakkereille mahdollisuuden saada järjestelmänvalvojan oikeudet asentaa Kobalos. Jotkut vaarantuneet järjestelmät "Olivat käynnissä vanhemmilla, tuetuilla tai päivittämättömillä käyttöjärjestelmillä ja ohjelmistoilla", joten tunnetun haavoittuvuuden hyödyntäminen on todennäköistä.
Vaikka tutkijat viettivät kuukausia haittaohjelmien analysoinnissa, he eivät pystyneet määrittämään sen tarkkaa tarkoitusta mukana olevien yleisten komentojen ja erityisen kuormituksen vuoksi.
Kobalos tarjoaa etäkäyttö tiedostojärjestelmään ja voi luoda pääteistuntoja, jolloin hyökkääjät voivat suorittaa mielivaltaisia komentoja. Tietokoneissa, joissa heitä voidaan analysoida tarkemmin, he huomasivat, että OpenSSH-asiakas oli muuttunut troijalaiseksi. Näin voin rekisteröidä käyttäjänimen, salasanan ja kohdepalvelimen nimen.
Tutkijat uskovat sen valtakirjavarastaminen voisi selittää, kuinka haittaohjelma leviää muihin verkkoihin samassa verkossa tai muissa verkostoissa korkeakouluissa, koska useiden yliopistojen opiskelijoilla ja tutkijoilla voi olla SSH-pääsy supertietokoneiden ryhmiin.
Erittäin kevyt haittaohjelma
Yksi ominaisuuksista, jotka yllättävät tutkijoita eniten, on se, että se on pieni haittaohjelma , joka vie vain 24 kt. Pienestä koostaan huolimatta se on melko monimutkainen haittaohjelma ja siinä on hämärtystekniikoita, jotka vaikeuttavat analysointia.
Koodipohjaansa se sisältää koodin komento- ja ohjauspalvelimen suorittamiseen. Joten he voisivat muuntaa minkä tahansa aiemmin hyökätyn palvelimen.
Hyökkäysten lieventämiseksi tietoturvayhtiö suosittelee, että käyttäjät ottavat kaksivaiheisen todennuksen käyttöön SSH-palvelimille. ESET sanoo, että sen työkalut havaitsevat haittaohjelmat Linux / Kobalos tai Linux / Agent.IV, kun taas SSH-tunnistetietojen varastaja havaitaan nimellä Linux / SSHDoor.EV, Linux / SSHDoor.FB tai Linux / SSHDoor.FC.
