תוכנה זדונית זוהתה על ידי ESET ומתוארת בבלוג החברה ביום שלישי, מתייחסת להתקפות על מחשבי-על המשמשים ספקית אינטרנט אסיאתית גדולה (ISP), ספקית אבטחת נקודות קצה בארה"ב ומספר שרתים פרטיים, בין היתר.
צוות אבטחת הסייבר קרא לתוכנה הזדונית Kobalos על שם ה-kobalos, יצור קטן במיתולוגיה היוונית שנחשב זדוני במיוחד.
קובלוס הוא יוצא דופן ממספר סיבות. בסיס הקוד של התוכנה הזדונית קטן, אבל מתוחכם מספיק כדי להשפיע לפחות על מערכות ההפעלה Linux, BSD ו-Solaris. ESET חושדת שהוא עשוי להיות תואם להתקפות על מכונות AIX ו Microsoft של Windows.
בעבודה עם קבוצת אבטחת המחשבים CERN, ESET הבינה שתוכנה זדונית "חוצת פלטפורמות ייחודית" מכוונת לאשכולות מחשוב עתירי ביצועים (HPC). במקרים מסוימים של הדבקה, מתברר שתוכנה זדונית "צד שלישי" מיירטת חיבורים לשרת ה-SSH כדי לגנוב אישורים, המשמשים לאחר מכן כדי לקבל גישה לאשכולות HPC ולפריסות Kobalos.
בסיס הקוד של Kobalos הוא זעיר, אבל ההשפעה שלו בכלל לא.
קובלוס הוא בעצם דלת אחורית. ברגע שהתוכנה הזדונית פוגעת במחשב העל, הקוד מתחפר לקובץ ההפעלה של שרת OpenSSH ומשגר דלת אחורית אם השיחה מתבצעת דרך יציאת פלט TCP ספציפית. אפשרויות אחרות פועלות כמתווכים לחיבורים מסורתיים לשרת הפיקוד והבקרה (C2).
קובלוס מעניקה למפעיליו גישה מרחוק למערכות קבצים, מאפשרת להם להפעיל הפעלות מסוף ומתפקדת כנקודות חיבור לשרתים אחרים הנגועים בתוכנות זדוניות. ESET טוענת שהתכונה הייחודית של Kobalos היא היכולת שלה להפוך כל שרת שנפרץ ל-C2 בפקודה אחת.
"לא הצלחנו לקבוע את כוונותיהם של מפעילי קובלוס", הגיבה ESET. "שום תוכנה זדונית אחרת, מלבד גניבת אישורי SSH, לא זוהתה על ידי מנהלי מערכת במכונות שנפרצו. אנו מקווים שהפרטים שאנו חושפים היום בפרסום החדש שלנו יסייעו להעלות את המודעות לאיום זה ולחשוף את פעילותו".
קרא גם: