Beveiligingsonderzoekers van ESET hebben een nieuwe malware gevonden die zich specifiek richt op Linux. Het gaat om gerichte malware die een achterdeur opent door inloggegevens te stelen via een geïnfecteerde OpenSSH-download.
Beveiligingsbedrijf ESET noemt de malware Kobalos. Die zou onder andere toeslaan op Linux-distro's, en op de besturingssystemen BSD en Solaris. Het bedrijf speculeert dat de malware mogelijk ook op Windows actief kan zijn, maar daar heeft het geen bewijs voor. Het bedrijf vond slachtoffers van de malware over de hele wereld. De getroffen systemen zijn supercomputers en servers in voornamelijk academische instellingen en onderzoeksinstituten, maar het is niet duidelijk waar de aanvallers naar op zoek waren.
De onderzoekers noemen de malware geavanceerd. Die zou veel opties hebben om zichzelf te verbergen op een systeem en om detectie te omzeilen. Er zouden meerdere manieren zijn om contact te leggen met de malware. Een van die manieren is om een tcp-poort te openen, waarbij er een versleutelde verbinding wordt gelegd. Daarvoor wordt lokaal een sleutel gegenereerd, wat volgens de ontdekkers opvallend is omdat de malware juist heel klein is.
Het is onduidelijk wat de malware precies probeert te bereiken. Als die eenmaal op een systeem staat wordt er een OpenSSH-client geïnstalleerd die de inloggegevens van gebruikers steelt, die de aanvallers vervolgens kunnen gebruiken om commando's op het systeem uit te voeren. Opvallend is dat de onderzoekers verwijzingen zagen naar oude code, die van toepassing was op Windows 95. Dat hoeft niet te betekenen dat de malware zo oud is; mogelijk zijn er her en der delen uit oudere malwares gebruikt.