Az ESET rosszindulatú programot észlelt és leírta a blogban A cég kedden többek között egy nagy ázsiai internetszolgáltató (ISP), egy amerikai végpontbiztonsági szolgáltató és számos magánszerver által használt szuperszámítógépek elleni támadásokkal kapcsolatos.
A kiberbiztonsági csapat a Kobalos nevű rosszindulatú programot a kobalosról, a görög mitológiában egy rendkívül rosszindulatúnak tartott kis lényről nevezte el.
Kobalos több okból is szokatlan. A kártevő kódbázisa kicsi, de elég kifinomult ahhoz, hogy legalább Linux, BSD és Solaris operációs rendszereket érintsen. Az ESET azt gyanítja, hogy kompatibilis lehet az AIX gépek elleni támadásokkal és Microsoft Windows-t.
A CERN számítógép-biztonsági csoportjával együttműködve az ESET rájött, hogy egy „egyedülálló, több platformon” kártevő a nagy teljesítményű számítástechnikai (HPC) fürtöket célozza meg. Egyes fertőzési esetekben kiderül, hogy a „harmadik féltől származó” rosszindulatú programok elkapják az SSH-kiszolgálóval létesített kapcsolatokat, hogy ellopják a hitelesítő adatokat, amelyeket aztán a HPC-fürtökhöz és a Kobalos-telepítésekhez való hozzáféréshez használnak.
A Kobalos kódbázis kicsi, de a hatása egyáltalán nem.
Kobalos lényegében egy hátsó ajtó. Amint a rosszindulatú program eléri a szuperszámítógépet, a kód befurakszik az OpenSSH-kiszolgáló végrehajtható fájljába, és hátsó ajtót indít, ha a hívás egy adott TCP kimeneti porton keresztül történik. Más opciók közvetítőként működnek a parancs- és vezérlőkiszolgálóhoz (C2) való hagyományos kapcsolatokhoz.
A Kobalos távoli hozzáférést biztosít üzemeltetőinek a fájlrendszerekhez, lehetővé teszi számukra a terminálmunkamenetek futtatását, és csatlakozási pontként működik más, rosszindulatú programokkal fertőzött szerverekkel. Az ESET azt állítja, hogy a Kobalos egyedülálló tulajdonsága, hogy egyetlen paranccsal képes bármilyen kompromittált szervert C2-vé alakítani.
"Nem tudtuk meghatározni a Kobalos üzemeltetőinek szándékait" - kommentálta az ESET. „Az SSH hitelesítő adatok ellopásán kívül más rosszindulatú programot nem észleltek a rendszergazdák a feltört gépeken. Reméljük, hogy az új kiadványunkban ma feltárt részletek segítik felhívni a figyelmet erre a fenyegetésre és feltárni tevékenységét."
Olvassa el még: