Este nuevo malware para Linux roba las credenciales SSH de supercomputadoras
Una nueva puerta trasera está atacando supercomputadoras en todo el mundo con el objetivo de robar las credenciales para conexiones de redes seguras. Esto mediante el uso de una versión troyanizada del software OpenSSH.
El malware no está muy extendido y parece apuntar principalmente a computadoras de alto rendimiento (HPC) y servidores en redes académicas y de investigación.
Objetivos multiplataforma de alto perfil
Los investigadores de seguridad de la empresa de ESET descubrieron el malware y lo llamaron Kobalos. El nombre fue asignado en honor a una criatura traviesa de la mitología griega.
Dicen que Kobalos tiene una base de código pequeña pero compleja que se puede ejecutar en otras plataformas UNIX (FreeBSD, Solaris). Algunos artefactos descubiertos durante el análisis indican que también puede haber variantes para los sistemas operativos AIX y Windows.
Después de recopilar información de la amenaza, ESET realizó escaneos en Internet para encontrar víctimas de Kobalos. Descubrieron que muchos de los sistemas comprometidos eran supercomputadoras y servidores del sector académico y de investigación. Otras víctimas incluyen un punto final de un proveedor de seguridad de software no revelado en América del Norte y un gran ISP en Asia. Asimismo, agencias de marketing y proveedores de alojamiento.
ESET no pudo establecer el vector de ataque inicial que permitió a los ciberdelincuentes obtener acceso administrativo para instalar Kobalos. Sin embargo, algunos de los sistemas comprometidos “funcionaban con sistemas operativos y software antiguo, no compatibles o sin parches”. Por lo tanto, la explotación de una vulnerabilidad conocida es un escenario probable.
Robo de credenciales SSH
Aunque los investigadores pasaron meses analizando el malware, no pudieron determinar su propósito exacto debido a los comandos genéricos incluidos y sin un payload específico.
Kobalos proporciona acceso remoto al sistema de archivos y puede generar sesiones de terminal, lo que permite a los atacantes ejecutar comandos arbitrarios. Sin embargo, hay algunos detalles disponibles.
“En las máquinas comprometidas en las que pudimos investigar más a fondo, descubrimos que había un ladrón de credenciales SSH en forma de un cliente OpenSSH troyanizado. El archivo /usr/bin/sshfile fue reemplazado por un ejecutable modificado. Este ejecutable registra el nombre de usuario, la contraseña y nombre de host de destino y los escribe en un archivo cifrado”.
ESET
Los investigadores creen que el robo de credenciales podría explicar cómo el malware se propaga a otros sistemas en la misma red u otras redes en el sector académico, ya que los estudiantes e investigadores de múltiples universidades pueden tener acceso SSH a grupos de supercomputadoras.
Los investigadores creen que el robo de credenciales podría explicar cómo el malware se propaga a otros sistemas en la misma red. También como se extiende a otras redes en el sector académico. Recordemos que los estudiantes e investigadores de múltiples universidades pueden tener acceso SSH a grupos de supercomputadoras.
Puerta trasera diminuta y compleja
A pesar de ser liviano, solo 24KB para muestras de 32/64 bits, Kobalos es una pieza compleja de malware. Tiene técnicas personalizadas de ofuscación y anti-forenses que dificultan su análisis, y con muchas características para su pequeño tamaño.
Una característica interesante que distingue a Kobalos es que su código está empaquetado en una sola función. Y, solo hay una llamada desde el código legítimo de OpenSSH. Sin embargo, tiene un flujo de control no lineal, que llama de forma recursiva a esa función para realizar subtareas. Esta admite un total de 37 acciones, una de las cuales puede convertir cualquier máquina comprometida en un servidor de comando y control (C2).
Los investigadores descubrieron que los operadores remotos tienen tres opciones para conectarse a Kobalos:
- abrir un puerto TCP y esperar una conexión entrante (a veces llamada puerta trasera pasiva)
- conectarse a otra instancia de Kobalos configurada para ejecutarse como servidor C2
- esperar las conexiones a un servicio legítimo que ya se esté ejecutando pero que provenga de un puerto de origen TCP específico. Es decir, troyanizar el servidor OpenSSH en ejecución.
Kobalos también cifra el tráfico hacia y desde los atacantes. Para lograr esto, los clientes deben autenticarse usando una clave RSA-512 y una contraseña. La clave genera y cifra dos claves de 16 bytes que cifran la comunicación mediante el cifrado RC4.
Además, la puerta trasera puede cambiar la comunicación a un puerto alternativo y actuar como un proxy (encadenable) para llegar a otros servidores comprometidos.
Autor habilidoso
Dada la pequeña base de código y la potencia que contiene, ESET dice que la sofisticación de Kobalos “rara vez se ve en el malware de Linux”. Esto indica un desarrollador con habilidades mucho mejores que el autor promedio de malware de Linux.
Si bien la complejidad del malware es indiscutible, quedan dudas sobre el objetivo del atacante y el período en que Kobalos ha estado en uso. Hay que destacar que algunos de los rastros encontradas se relacionan con Windows 3.11 y Windows 95, que tienen más de 25 años.
Lo cierto es que Kobalos está robando credenciales SSH de víctimas de alto perfil que incluyen clústeres de computadoras de alto rendimiento. Y, que ha estado activo antes de otros ataques contra supercomputadoras registrados desde finales de 2019.
Además, a diferencia de otros incidentes ya informados que involucran redes HPC, los administradores de sistemas no encontraron ningún intento de minar criptomonedas. Tampoco hallaron indicios de que Kobalos ejecute tareas computacionalmente costosas.
ESET notificó a todas las víctimas de Kobalos que pudieron identificar y trabajó con ellas para solucionar la infección. Los investigadores publicaron un análisis técnico completo de Kobalos que incluye indicadores de compromiso (IoC). Estos pueden ayudar a las víctimas potenciales a detectar el malware.
