Kobalos, una nueva amenaza que roba credenciales SSH

Kobalos, una nueva amenaza que roba credenciales SSH

Javier Jiménez

Generalmente Linux es considerado un sistema operativo más seguro que Windows. Lo cierto es que los piratas informáticos ponen sus miras en aquello donde haya más usuarios y, por tanto, más opciones de éxito. En este artículo nos hacemos eco de Kobalos, una nueva amenaza que afecta a Linux y que tiene como objetivo robar las credenciales SSH a través de software OpenSSH previamente atacado.

Kobalos, una amenaza de Linux que roba credenciales SSH

Un grupo de investigadores de seguridad ha descubierto este problema que afecta a los sistemas Linux. Se trata de una versión modificada de forma maliciosa de OpenSSH. Puede ser utilizado para robar credenciales SSH. Ha sido denominado como Kobalos e indican que es complejo y engañoso.

Esta puerta trasera de Kobalos está alcanzando determinados objetivos importantes, incluidos algunos sistemas gubernamentales, universidades europeas e incluso operadores de Internet. En principio se ha confirmado que afecta a sistemas operativos Linux, FreeBSD y Solaris, pero los expertos indican que podría haber variantes de este malware que también afecte a Windows.

Por parte de los investigadores de seguridad de ESET realizaron ingeniería inversa a Kobalos para rastrear Internet en busca de víctimas de este malware. En la mayoría de casos afectó a sistemas y supercomputadores, pero también encontraron servidores privados que fueron atacados.

ESET no pudo establecer el vector de ataque inicial que permitió a los piratas informáticos obtener acceso administrativo para instalar Kobalos. Sin embargo, algunos de los sistemas comprometidos «funcionaban con sistemas operativos y software antiguos, no compatibles o sin parches», por lo que la explotación de una vulnerabilidad conocida es un escenario probable.

Aunque los investigadores pasaron meses analizando el malware, no pudieron determinar su propósito exacto debido a los comandos genéricos incluidos y sin una carga útil específica.

Kobalos proporciona acceso remoto al sistema de archivos y puede generar sesiones de terminal, lo que permite a los atacantes ejecutar comandos arbitrarios. En los equipos en los que pudieron ser analizados más a fondo, descubrieron que había un cliente OpenSSH convertido en troyano. Así podía registrar el nombre de usuario, contraseña y el nombre del host de destino.

Los investigadores creen que el robo de credenciales podría explicar cómo el malware se propaga a otros sistemas en la misma red u otras redes en el sector académico, ya que los estudiantes e investigadores de múltiples universidades pueden tener acceso SSH a grupos de supercomputadoras.

Malware muy liviano

Una de las características que más sorprenden a los investigadores es que se trata de un malware pequeño, que apenas ocupa 24 KB. No obstante, pese a su pequeño tamaño es una pieza de malware bastante compleja y cuenta con técnicas de ofuscación que dificultan su análisis.

En su código base incluye código para ejecutar un servidor de comando y control. Así podrían convertir cualquier servidor que ha sido atacado previamente.

Para mitigar los ataques, la empresa de seguridad recomienda que los usuarios habiliten la autenticación de dos factores para conectarse a los servidores SSH. ESET dice que sus herramientas detectan el malware como Linux/Kobalos o Linux/Agent.IV, mientras que el ladrón de credenciales SSH se detecta como Linux/SSHDoor.EV, Linux/SSHDoor.FB o Linux/SSHDoor.FC.