Malware registreret af ESET og beskrevet i bloggen selskab tirsdag, relaterer sig til angreb på supercomputere, der blandt andet bruges af en større asiatisk internetudbyder (ISP), en amerikansk slutpunktsikkerhedsudbyder og en række private servere.
Cybersikkerhedsteamet opkaldte malwaren Kobalos efter kobalos, et lille væsen i græsk mytologi, der anses for at være usædvanligt ondsindet.
Kobalos er usædvanlig af flere årsager. Malwarens kodebase er lille, men sofistikeret nok til at påvirke i det mindste Linux, BSD og Solaris operativsystemer. ESET har mistanke om, at det kan være kompatibelt med angreb på AIX-maskiner og Microsoft Vinduer.
I samarbejde med CERN-computersikkerhedsgruppen indså ESET, at en "unik cross-platform" malware var rettet mod højtydende computerklynger (HPC). I nogle tilfælde af infektion viser det sig, at "tredjeparts" malware opsnapper forbindelser til SSH-serveren for at stjæle legitimationsoplysninger, som derefter bruges til at få adgang til HPC-klynger og Kobalos-implementeringer.
Kobalos-kodebasen er lille, men dens virkning er det slet ikke.
Kobalos er i bund og grund en bagdør. Når malwaren rammer supercomputeren, borer koden ind i OpenSSH-serverens eksekverbare fil og starter en bagdør, hvis opkaldet foretages gennem en specifik TCP-outputport. Andre muligheder fungerer som mediatorer for traditionelle forbindelser til kommando- og kontrolserveren (C2).
Kobalos giver sine operatører fjernadgang til filsystemer, giver dem mulighed for at køre terminalsessioner og fungerer som forbindelsespunkter til andre servere, der er inficeret med malware. ESET hævder, at den unikke egenskab ved Kobalos er dens evne til at forvandle enhver kompromitteret server til C2 med en enkelt kommando.
"Vi var ikke i stand til at bestemme Kobalos-operatørernes hensigter," kommenterede ESET. "Ingen anden malware, bortset fra at stjæle SSH-legitimationsoplysninger, blev opdaget af sysadmins på de kompromitterede maskiner. Vi håber, at de detaljer, vi afslører i dag i vores nye publikation, vil hjælpe med at øge bevidstheden om denne trussel og afsløre dens aktivitet."
Læs også: