Malware de calcul haute performance ciblant Linux, Solaris et éventuellement Microsoft

  • FrançaisFrançais


  • Les logiciels malveillants récemment découverts ciblent plusieurs plates-formes de calcul haute performance et d’autres systèmes de haut niveau.

    ESET a nommé le logiciel malveillant qu’il a découvert «Kobalos» d’après une créature mythologique, petite et mystérieuse grecque en raison de sa petite taille de code et de sa complexité démesurée.

    Bien qu’initialement signalé à un système malveillant Linux, l’équipe ESET a trouvé Kobalos sur une variété de plates-formes, a déclaré Marc-Étienne Léveillé, chercheur principal en logiciels malveillants chez le fournisseur.

    «Nous l’avons également vu dans Solaris et il y a des signes que cela peut également être dans certains systèmes Windows», a-t-il déclaré.

    Kobalos dispose d’un récupérateur d’informations d’identification SSH et d’une porte dérobée extrêmement générique – si génériques qu’ESET n’a pas été en mesure de déterminer les motivations de l’attaquant. On ne sait pas si l’objectif a été de tirer parti de la puissance de calcul, de voler des données ou quoi que ce soit d’autre.

    Les attaques se sont propagées entre les États-Unis, l’Europe et l’Asie et ont inclus des clusters HPC ainsi que des systèmes universitaires, un grand fournisseur de services Internet, des systèmes personnels et des sociétés de marketing et d’hébergement.

    Léveillé a déclaré qu’il était inhabituel de voir des attaques multiplateformes sur des cibles HPC, bien qu’avec une base de code qui n’utilise aucune commande spécifique au système d’exploitation, il ne serait pas trop difficile de porter d’un système à un autre.

    «C’est très petit et très bien conçu», dit-il.

    Une caractéristique intéressante du malware est que tous les systèmes infectés peuvent être exploités en tant que serveurs de commande et de contrôle.

    L’ensemble du code du malware est contenu dans une seule fonction appelée récursivement, ce qui le rend plus difficile à analyser.

    Léveillé a déclaré qu’une bonne pratique pour contrecarrer le malware serait d’empêcher la récolte d’informations d’identification avec des méthodes éprouvées.

    «Quelque chose que nous avons dit depuis le document WINDIGO: notre recommandation est d’exécuter l’identification à deux facteurs sur SSH», a-t-il déclaré.

    Pour les utilisateurs de Linux, cela peut être une pratique moins courante. Léveillé note qu’il existe plusieurs options gratuites disponibles, dont une de Google, bien que l’option Google ne soit plus maintenue.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *