Зловреден софтуер, открит от ESET и описан в блога компания във вторник, се отнася до атаки срещу суперкомпютри, използвани от основен азиатски доставчик на интернет услуги (ISP), американски доставчик на сигурност на крайни точки и редица частни сървъри, наред с други цели.
Екипът по киберсигурност кръсти зловредния софтуер Kobalos на кобалос, малко същество от гръцката митология, което се смята за изключително злонамерено.
Кобалос е необичаен по редица причини. Кодовата база на злонамерения софтуер е малка, но достатъчно сложна, за да засегне поне операционните системи Linux, BSD и Solaris. ESET подозира, че може да е съвместим с атаки срещу AIX машини и Microsoft Windows.
Работейки с групата за компютърна сигурност на CERN, ESET разбра, че „уникален междуплатформен“ злонамерен софтуер е насочен към клъстери с високопроизводителни изчисления (HPC). В някои случаи на заразяване се оказва, че зловреден софтуер на „трети страни“ прихваща връзки към SSH сървъра, за да открадне идентификационни данни, които след това се използват за получаване на достъп до HPC клъстери и внедрявания на Kobalos.
Кодовата база на Kobalos е малка, но нейното въздействие изобщо не е такова.
Kobalos по същество е задна врата. След като злонамереният софтуер удари суперкомпютъра, кодът се заравя в изпълнимия файл на OpenSSH сървъра и стартира задна врата, ако обаждането е направено през конкретен TCP изходен порт. Други опции действат като посредници за традиционните връзки към командния и контролен сървър (C2).
Kobalos дава на своите оператори отдалечен достъп до файлови системи, позволява им да изпълняват терминални сесии и действа като точки за връзка с други сървъри, заразени със зловреден софтуер. ESET твърди, че уникалната характеристика на Kobalos е способността му да превърне всеки компрометиран сървър в C2 с една команда.
„Не успяхме да определим намеренията на операторите на Kobalos“, коментира ESET. „Никакъв друг зловреден софтуер, освен кражбата на SSH идентификационни данни, не беше открит от системните администратори на компрометираните машини. Надяваме се, че подробностите, които разкриваме днес в нашата нова публикация, ще помогнат за повишаване на осведомеността за тази заплаха и ще разкрият нейната дейност."
Прочетете също: