Von ESET erkannte und beschriebene Malware im Blog Unternehmen am Dienstag, bezieht sich auf Angriffe auf Supercomputer, die unter anderem von einem großen asiatischen Internetdienstanbieter (ISP), einem US-Endpunktsicherheitsanbieter und einer Reihe von privaten Servern verwendet werden.
Das Cybersicherheitsteam benannte die Malware Kobalos nach den Kobalos, einer kleinen Kreatur aus der griechischen Mythologie, die als außergewöhnlich bösartig gilt.
Kobalos ist aus mehreren Gründen ungewöhnlich. Die Codebasis der Malware ist klein, aber ausgereift genug, um zumindest Linux-, BSD- und Solaris-Betriebssysteme zu beeinträchtigen. ESET vermutet, dass es mit Angriffen auf AIX-Maschinen kompatibel sein könnte Microsoft Windows.
In Zusammenarbeit mit der Computersicherheitsgruppe des CERN erkannte ESET, dass eine „einzigartige plattformübergreifende“ Malware auf High Performance Computing (HPC)-Cluster abzielte. In einigen Infektionsfällen stellt sich heraus, dass „Drittanbieter“-Malware Verbindungen zum SSH-Server abfängt, um Zugangsdaten zu stehlen, die dann verwendet werden, um Zugriff auf HPC-Cluster und Kobalos-Bereitstellungen zu erhalten.
Die Kobalos-Codebasis ist winzig, aber ihre Auswirkungen sind überhaupt nicht vorhanden.
Kobalos ist im Wesentlichen eine Hintertür. Sobald die Malware den Supercomputer trifft, gräbt sich der Code in die ausführbare Datei des OpenSSH-Servers und startet eine Hintertür, wenn der Aufruf über einen bestimmten TCP-Ausgangsport erfolgt. Andere Optionen fungieren als Vermittler für herkömmliche Verbindungen zum Command-and-Control-Server (C2).
Kobalos gewährt seinen Betreibern Fernzugriff auf Dateisysteme, ermöglicht ihnen die Ausführung von Terminalsitzungen und fungiert als Verbindungspunkt zu anderen mit Malware infizierten Servern. ESET behauptet, dass die einzigartige Funktion von Kobalos die Fähigkeit ist, jeden kompromittierten Server mit einem einzigen Befehl in C2 zu verwandeln.
„Wir konnten die Absichten der Kobalos-Betreiber nicht ermitteln“, kommentierte ESET. „Keine andere Malware außer dem Diebstahl von SSH-Anmeldeinformationen wurde von Systemadministratoren auf den kompromittierten Computern entdeckt. Wir hoffen, dass die Details, die wir heute in unserer neuen Veröffentlichung veröffentlichen, dazu beitragen werden, das Bewusstsein für diese Bedrohung zu schärfen und ihre Aktivitäten aufzudecken."
Lesen Sie auch: