ESET aptiko ir aprašyta kenkėjiška programa dienoraštyje Bendrovė antradienį yra susijusi su atakomis prieš superkompiuterius, kuriuos, be kitų objektų, naudoja pagrindinis Azijos interneto paslaugų teikėjas (IPT), JAV galutinio taško saugos tiekėjas ir keletas privačių serverių.
Kibernetinio saugumo komanda kenkėjišką programą pavadino „Kobalos“ – mažos būtybės graikų mitologijoje, kuri laikoma išskirtinai kenkėjiška, vardu.
Kobalos yra neįprastas dėl daugelio priežasčių. Kenkėjiškos programos kodų bazė yra nedidelė, bet pakankamai sudėtinga, kad paveiktų bent jau Linux, BSD ir Solaris operacines sistemas. ESET įtaria, kad jis gali būti suderinamas su atakomis prieš AIX įrenginius ir Microsoft "Windows".
Dirbdama su CERN kompiuterių saugos grupe, ESET suprato, kad „unikali kelių platformų“ kenkėjiška programa nukreipta į didelio našumo skaičiavimo (HPC) grupes. Kai kuriais užsikrėtimo atvejais paaiškėja, kad „trečiosios šalies“ kenkėjiška programa pertraukia ryšius su SSH serveriu, kad pavogtų kredencialus, kurie vėliau naudojami prieigai prie HPC grupių ir „Kobalos“ diegimų.
Kobalos kodo bazė yra maža, tačiau jos poveikis visai nėra.
Kobalos iš esmės yra užpakalinės durys. Kai kenkėjiška programa pasiekia superkompiuterį, kodas įsiskverbia į OpenSSH serverio vykdomąjį failą ir paleidžia užpakalines duris, jei skambinama per konkretų TCP išvesties prievadą. Kitos parinktys veikia kaip tarpininkai tradiciniams ryšiams su komandų ir valdymo serveriu (C2).
„Kobalos“ suteikia savo operatoriams nuotolinę prieigą prie failų sistemų, leidžia vykdyti terminalo seansus ir veikia kaip prisijungimo taškai prie kitų serverių, užkrėstų kenkėjiška programa. ESET teigia, kad unikali Kobalos savybė yra galimybė bet kurį pažeistą serverį paversti C2 viena komanda.
„Negalėjome nustatyti „Kobalos“ operatorių ketinimų“, – komentavo ESET. „Jokios kitos kenkėjiškos programos, išskyrus SSH kredencialų vagystę, sistemos administratoriai neaptiko pažeistuose įrenginiuose. Tikimės, kad detalės, kurias šiandien atskleisime naujajame leidinyje, padės geriau suvokti šią grėsmę ir atskleisti jos veiklą.
Taip pat skaitykite: