Kobalos cible les superordinateurs et il est petit et plein de malices. © Oak Ridge National Laboratory
Tech

Kobalos, le malware qui fait trembler les superordinateurs

ActualitéClassé sous :cybersécurité , superordinateur , malware

-

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Doté d'un code minuscule, ce malware s'attaque aux systèmes des superordinateurs fonctionnant sous Linux. Redoutable, il ouvre des portes dérobées sur les serveurs en collectant des identifiants et se répand. Reste à savoir quelles sont les intentions de ses auteurs.

Kobalos, c'est le nom d'une créature maléfique de la mythologie grecque ; c'est maintenant le nom qu'a donné la société de cybersécurité Eset à un redoutable malware ciblant les superordinateurs animés par Linux, BSD, Solaris et peut être AIX et Windows. Comme la créature, Kobalos est « petit par son code et ses nombreuses astuces », selon Marc-Etienne Léveillé, l'un des chercheurs d'Eset ayant enquêté sur le malware, mais il dispose d'un niveau de sophistication rarement observé dans les malwares visant Linux. Kobalos prend pour cible des clusters d'ordinateurs à haute performance (HPC) que l'on peut trouver chez les grands fournisseurs d'infrastructures réseau.

Pour se répandre, Kobalos ouvre une porte qui autorise aux pirates d'accéder à distance au système de fichiers, à la création de sessions de terminal, et leur permet également de générer des connexions par proxy à d'autres serveurs infectés. Sa particularité, c'est qu'il ne faut à l'opérateur qu'une seule commande pour transformer chaque serveur contaminé en serveur de commande et de contrôle (C&C).

Un petit code qui fait mal

Pour débarquer sur les serveurs, il détourne les connexions aux serveurs de communication sécurisés (SSH) dans l'idée de dérober les identifiants des utilisateurs autorisés. Ces identifiants servent ensuite à accéder aux superordinateurs et à les contaminer, puis à se répandre à nouveau. Pour les chercheurs épaulés par les équipes du Cern, le code malveillant était difficile à analyser car il était encapsulé dans un seul module avec des chaînes chiffrées. Leur travail d'enquête n'est pas encore achevé étant donné la complexité du malware. Selon les chercheurs, pour limiter la propagation, la mise en place d'une authentification à deux facteurs pourrait être une bonne solution puisque le malware se multiplie essentiellement en dérobant des identifiants.

Pour le moment, Eset n'arrive pas encore à déterminer les intentions des opérateurs mais ce type de création demande un tel niveau d'expertise que seuls les grands groupes de cybercriminels, éventuellement sponsorisés par un État-nation, peuvent en être les les auteurs.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !