ESET havaitsi ja kuvasi haittaohjelman blogissa Yhtiö tiistaina, liittyy hyökkäyksiin supertietokoneisiin, joita käyttää muun muassa suuri Aasian Internet-palveluntarjoaja (ISP), yhdysvaltalainen päätepisteiden tietoturvatoimittaja ja useita yksityisiä palvelimia.
Kyberturvallisuustiimi nimesi haittaohjelman Kobalokseksi kreikkalaisen mytologian pienen olennon kobaloksen mukaan, jota pidetään poikkeuksellisen haitallisena.
Kobalos on epätavallinen useista syistä. Haittaohjelman koodikanta on pieni, mutta riittävän pitkälle kehitetty vaikuttaakseen ainakin Linux-, BSD- ja Solaris-käyttöjärjestelmiin. ESET epäilee, että se voi olla yhteensopiva AIX-koneisiin ja Microsoft Windows.
Työskentelyään CERNin tietoturvaryhmän kanssa ESET tajusi, että "ainutlaatuinen cross-platform" -haittaohjelma oli kohdistettu korkean suorituskyvyn laskennan (HPC) klustereihin. Joissakin tartuntatapauksissa käy ilmi, että "kolmannen osapuolen" haittaohjelma kaappaa yhteydet SSH-palvelimeen varastaakseen tunnistetietoja, joita käytetään sitten pääsyyn HPC-klustereihin ja Kobalos-asetuksiin.
Kobalos-koodikanta on pieni, mutta sen vaikutus ei ole ollenkaan.
Kobalos on pohjimmiltaan takaovi. Kun haittaohjelma osuu supertietokoneeseen, koodi tunkeutuu OpenSSH-palvelimen suoritettavaan tiedostoon ja käynnistää takaoven, jos puhelu tehdään tietyn TCP-lähtöportin kautta. Muut vaihtoehdot toimivat välittäjinä perinteisille yhteyksille komento- ja ohjauspalvelimeen (C2).
Kobalos antaa operaattoreilleen etäyhteyden tiedostojärjestelmiin, mahdollistaa pääteistuntojen suorittamisen ja toimii yhteyspisteinä muihin haittaohjelmien saastuttamiin palvelimiin. ESET väittää, että Kobalosin ainutlaatuinen ominaisuus on sen kyky muuttaa mikä tahansa vaarantunut palvelin C2:ksi yhdellä komennolla.
"Emme pystyneet määrittämään Kobalos-operaattoreiden aikomuksia", kommentoi ESET. "Järjestelmänvalvojat eivät havainneet vaarantuneilla koneilla muita haittaohjelmia kuin SSH-tunnistetietojen varastamisen. Toivomme, että tänään uudessa julkaisussamme paljastamamme yksityiskohdat auttavat lisäämään tietoisuutta tästä uhasta ja paljastamaan sen toiminnan."
Lue myös: