s0641-kobalos - RunkIntel

# Kobalos > [!high] Backdoor Linux multiplataforma de 25KB com atribuicao desconhecida - alvejá supercomputadores de pesquisa e infraestrutura de alto desempenho > Descoberto pela ESET no final de 2019 e revelado em 2021, o Kobalos usa sinalizacao de trafego SSH para ativacao furtiva e converte qualquer servidor comprometido em infraestrutura C2. ## Visão Geral [[s0641-kobalos|Kobalos]] e um backdoor multiplataforma altamente sofisticado capaz de infectar sistemas Linux, FreeBSD e Solaris. Descoberto pela ESET no final de 2019 e públicado em fevereiro de 2021, o Kobalos foi identificado em alvos de altissimo perfil: supercomputadores usados em pesquisa academica e cientifica na Europa (incluindo o CERN), um grande provedor de servicos de internet asiatico, um fornecedor de segurança de endpoints norte-americano e servidores de trading financeiro. Esta combinacao incomum de alvos sugere motivacao de espionagem de alto valor com interesse em pesquisa cientifica de ponta e capacidade de interceptação de trafego em larga escala. O nome "Kobalos" foi dado pela ESET em referência a uma criatura travessa do folclore grego - uma escolha apropriada para um malware que os pesquisadores descreveram como "impressionante em complexidade" para um binario de apenas ~25 kilobytes. Esta relacao tamanho/sofisticacao e notavel: o Kobalos empacota suporte a múltiplas plataformas, comunicação C2 criptografada com criptografia assimetrica e simetrica robusta, e mecanismo de ativacao por sinalizacao de trafego em um binario extremamente compacto. A atribuicao do Kobalos permanece incerta. A ESET nao identificou sobreposicoes claras com grupos APT conhecidos ou com outros malwares documentados - o que pode indicar um ator de ameaça ainda nao rastreado ou um grupo com capacidade de manter seu conjunto de ferramentas efetivamente sigiloso. A presenca em supercomputadores usados em pesquisa de vacinas e em infraestrutura de provedores de internet sugere interesse em espionagem cientifica e capacidade de interceptação de trafego em escala nacional. **Plataformas:** Linux, FreeBSD, Solaris ## Como Funciona O mecanismo de ativacao do Kobalos e seu elemento mais técnicamente notavel: o malware usa sinalizacao de trafego ([[t1205-traffic-signaling|T1205]]) baseada na porta de origem da conexão SSH. Específicamente, conexoes de entrada na porta SSH (22) com porta de origem TCP específica ativam o backdoor, enquanto conexoes normais continuam sendo processadas pelo servidor SSH legitimo. Isso significa que o Kobalos e completamente invisivel em monitoramento convencional de trafego de rede - parece trafego SSH normal. Uma vez ativado, o Kobalos estabelece comunicação cifrada usando RSA-512 para troca de chaves e RC4 para criptografia de sessao ([[t1573-001-symmetric-cryptography|T1573.001]], [[t1573-002-asymmetric-cryptography|T1573.002]]). O backdoor compromete o binario SSH do host ([[t1554-compromise-host-software-binary|T1554]]) para capturar credenciais de autenticação ([[t1056-input-capture|T1056]]), que sao usadas para propagação lateral para outros servidores. Qualquer servidor comprometido pode ser convertido em servidor C2 para outros implantes Kobalos, criando uma rede C2 distribuida dificil de derrubar. ## Attack Flow Kobalos ```mermaid graph TB A["Acesso inicial Credenciais SSH comprometidas ou vulnerabilidade explorada"] --> B["Comprometimento binario SSH T1554 - sshd/libwrap modificados Captura de credenciais"] B --> C["Ativacao traffic signaling Porta origem específica na SSH T1205 - invisivel ao monitoramento"] C --> D["Sessao C2 criptografada RSA-512 + RC4 Multi-hop proxy T1090.003"] D --> E["Captura de credenciais Input capture T1056 Todas as sessoes SSH"] E --> F["Propagação lateral SSH com credenciais roubadas Novo servidor vira C2"] classDef initial fill:#dc2626,color:#fff classDef compromise fill:#ea580c,color:#fff classDef signal fill:#ca8a04,color:#000 classDef c2 fill:#7c3aed,color:#fff classDef capture fill:#3b82f6,color:#fff classDef lateral fill:#16a34a,color:#fff class A initial class B compromise class C signal class D c2 class E capture class F lateral ``` ## Linha do Tempo ```timeline Final 2019 : ESET descobre Kobalos : Amostras de supercomputadores europeus 2020 : Multiplos HPC comprometidos CERN e outros : Alvos incluem pesquisa de vacinas COVID-19 Fevereiro 2021 : ESET publica relatorio tecnico completo : Kobalos revelado publicamente 2021 : Análise por outros vendors : Atribuicao permanece incerta 2022-atual : Sem novas campanhas publicas atribuidas : Implantes podem ainda estar ativos ``` ## TTPs - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1070-003-clear-command-history|T1070.003 - Clear Command History]] - [[t1074-data-staged|T1074 - Data Staged]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1205-traffic-signaling|T1205 - Traffic Signaling]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1056-input-capture|T1056 - Input Capture]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] ## Relevância LATAM/Brasil O Brasil possui centros de computacao de alto desempenho relevantes - incluindo o LNCC (Laboratorio Nacional de Computacao Cientifica) com o supercomputador Santos Dumont, um dos maiores da América Latina. Universidades e institutos de pesquisa brasileiros com colaboracoes internacionais e infraestrutura HPC compartilhada com parceiros estrangeiros representam vetores potenciais de comprometimento pelo tipo de ator que usa o Kobalos. A capacidade do Kobalos de comprometer servidores de provedores de internet também e relevante para o Brasil: provedores nacionais de grande porte processam volumes enormes de trafego e sao alvos de alto valor para atores de espionagem interessados em interceptação. Organizacoes de pesquisa cientifica e provedores de internet brasileiros devem implementar controles de integridade de sistema em seus servidores Linux e monitorar modificacoes nos binarios SSH e bibliotecas criticas. ## Detecção A detecção do Kobalos requer monitoramento especializado dado seu mecanismo de ativacao por sinalizacao de trafego: - **Verificação de integridade de binarios** - Usar AIDE, Tripwire ou checksums para detectar comprometimento de `sshd`, `libwrap` e outras bibliotecas criticas ([[t1554-compromise-host-software-binary|T1554]]) - **Monitoramento de porta de origem SSH** - Inspecao profunda de pacotes (DPI) para identificar conexoes SSH com portas de origem incomuns ([[t1205-traffic-signaling|T1205]]) - **Limpeza de historico por processos nao interativos** - Alertar para remoção de historico de comandos por processos automatizados ([[t1070-003-clear-command-history|T1070.003]]) - **Conexoes de saida originadas do sshd** - Monitorar o processo `sshd` iniciando conexoes de saida - comportamento anomalo que indica Kobalos ativo - A ESET públicou regras YARA e IOCs específicos no relatorio tecnico de 2021 ## Referências - [1](https://attack.mitre.org/software/S0641) MITRE ATT&CK - S0641 Kobalos (2024) - [2](https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/) ESET - Kobalos: A Complex Linux Threat to HPC Infrastructure (2021) - [3](https://www.welivesecurity.com/wp-content/uploads/2021/01/ESET_Kobalos.pdf) ESET - Kobalos Technical Report (2021) - [4](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-004/) ANSSI France - Kobalos Campaign Analysis (2021)