Το κακόβουλο λογισμικό εντοπίστηκε από την ESET και περιγράφηκε στο blog εταιρεία την Τρίτη, σχετίζεται με επιθέσεις σε υπερυπολογιστές που χρησιμοποιούνται από έναν μεγάλο ασιατικό πάροχο υπηρεσιών Διαδικτύου (ISP), έναν πάροχο ασφάλειας τελικού σημείου των ΗΠΑ και έναν αριθμό ιδιωτικών διακομιστών, μεταξύ άλλων στόχων.
Η ομάδα κυβερνοασφάλειας ονόμασε το κακόβουλο λογισμικό Kobalos από το kobalos, ένα μικρό πλάσμα στην ελληνική μυθολογία που θεωρείται εξαιρετικά κακόβουλο.
Το Kobalos είναι ασυνήθιστο για διάφορους λόγους. Η βάση κώδικα του κακόβουλου λογισμικού είναι μικρή, αλλά αρκετά εξελιγμένη ώστε να επηρεάζει τουλάχιστον τα λειτουργικά συστήματα Linux, BSD και Solaris. Η ESET υποπτεύεται ότι μπορεί να είναι συμβατό με επιθέσεις σε μηχανήματα AIX και Microsoft Παράθυρα.
Σε συνεργασία με την ομάδα ασφάλειας υπολογιστών CERN, η ESET συνειδητοποίησε ότι ένα "μοναδικό cross-platform" κακόβουλο λογισμικό στόχευε συμπλέγματα υπολογιστών υψηλής απόδοσης (HPC). Σε ορισμένες περιπτώσεις μόλυνσης, αποδεικνύεται ότι κακόβουλο λογισμικό "τρίτου" παρεμποδίζει τις συνδέσεις με τον διακομιστή SSH για να κλέψει διαπιστευτήρια, τα οποία στη συνέχεια χρησιμοποιούνται για να αποκτήσουν πρόσβαση σε συμπλέγματα HPC και αναπτύξεις Kobalos.
Η βάση του κώδικα Kobalos είναι μικροσκοπική, αλλά ο αντίκτυπός της δεν είναι καθόλου.
Ο Kobalos είναι ουσιαστικά μια κερκόπορτα. Μόλις το κακόβουλο λογισμικό χτυπήσει τον υπερυπολογιστή, ο κώδικας εισχωρεί στο εκτελέσιμο διακομιστή OpenSSH και εκκινεί μια κερκόπορτα, εάν η κλήση πραγματοποιηθεί μέσω μιας συγκεκριμένης θύρας εξόδου TCP. Άλλες επιλογές λειτουργούν ως διαμεσολαβητές για παραδοσιακές συνδέσεις με τον διακομιστή εντολών και ελέγχου (C2).
Το Kobalos παρέχει στους χειριστές του απομακρυσμένη πρόσβαση σε συστήματα αρχείων, τους επιτρέπει να εκτελούν περιόδους σύνδεσης τερματικού και λειτουργεί ως σημεία σύνδεσης με άλλους διακομιστές που έχουν μολυνθεί με κακόβουλο λογισμικό. Η ESET ισχυρίζεται ότι το μοναδικό χαρακτηριστικό του Kobalos είναι η ικανότητά του να μετατρέπει οποιονδήποτε παραβιασμένο διακομιστή σε C2 με μία μόνο εντολή.
«Δεν μπορέσαμε να προσδιορίσουμε τις προθέσεις των χειριστών του Kobalos», σχολίασε η ESET. "Κανένα άλλο κακόβουλο λογισμικό, εκτός από την κλοπή διαπιστευτηρίων SSH, δεν εντοπίστηκε από τους sysadmins στα παραβιασμένα μηχανήματα. Ελπίζουμε ότι οι λεπτομέρειες που αποκαλύπτουμε σήμερα στη νέα μας δημοσίευση θα βοηθήσουν στην ευαισθητοποίηση αυτής της απειλής και στην αποκάλυψη της δραστηριότητάς της».
Διαβάστε επίσης: