Doté d’un code minuscule, ce malware s'attaque aux systèmes des superordinateurs fonctionnant sous Linux. Redoutable, il ouvre des portes dérobées sur les serveurs en collectant des identifiants et se répand. Reste à savoir quelles sont les intentions de ses auteurs.

Kobalos, c'est le nom d'une créature maléfique de la mythologie grecque ; c'est maintenant le nom qu'a donné la société de cybersécurité Eset à un redoutable malware ciblant les superordinateurssuperordinateurs animés par Linux, BSD, Solaris et peut être AIX et Windows. Comme la créature, Kobalos est « petit par son code et ses nombreuses astuces », selon Marc-Etienne Léveillé, l'un des chercheurs d'Eset ayant enquêté sur le malware, mais il dispose d'un niveau de sophistication rarement observé dans les malwares visant LinuxLinux. Kobalos prend pour cible des clusters d'ordinateurs à haute performance (HPC) que l'on peut trouver chez les grands fournisseurs d'infrastructures réseau.

Pour se répandre, Kobalos ouvre une porte qui autorise aux pirates d'accéder à distance au système de fichiers, à la création de sessions de terminal, et leur permet également de générer des connexions par proxy à d'autres serveurs infectés. Sa particularité, c'est qu'il ne faut à l'opérateur qu'une seule commande pour transformer chaque serveur contaminé en serveur de commande et de contrôle (C&C).

Un petit code qui fait mal

Pour débarquer sur les serveurs, il détourne les connexions aux serveurs de communication sécurisés (SSH) dans l'idée de dérober les identifiants des utilisateurs autorisés. Ces identifiants servent ensuite à accéder aux superordinateurs et à les contaminer, puis à se répandre à nouveau. Pour les chercheurs épaulés par les équipes du CernCern, le code malveillant était difficile à analyser car il était encapsulé dans un seul module avec des chaînes chiffrées. Leur travail d'enquête n'est pas encore achevé étant donné la complexité du malware. Selon les chercheurs, pour limiter la propagation, la mise en place d'une authentification à deux facteursauthentification à deux facteurs pourrait être une bonne solution puisque le malware se multiplie essentiellement en dérobant des identifiants.

Pour le moment, Eset n'arrive pas encore à déterminer les intentions des opérateurs mais ce type de création demande un tel niveau d'expertise que seuls les grands groupes de cybercriminels, éventuellement sponsorisés par un État-nation, peuvent en être les les auteurs.