ESET atklāja un aprakstīja ļaunprātīgu programmatūru emuārā Uzņēmums otrdien ir saistīts ar uzbrukumiem superdatoriem, ko cita starpā izmanto viens no lielākajiem Āzijas interneta pakalpojumu sniedzējiem (ISP), ASV galapunktu drošības nodrošinātājiem un vairākiem privātiem serveriem.
Kiberdrošības komanda nosauca ļaunprogrammatūru Kobalos vārdā kobalos — neliela būtne grieķu mitoloģijā, kas tiek uzskatīta par īpaši ļaunprātīgu.
Kobalos ir neparasts vairāku iemeslu dēļ. Ļaunprātīgās programmatūras kodu bāze ir maza, taču pietiekami sarežģīta, lai ietekmētu vismaz Linux, BSD un Solaris operētājsistēmas. ESET ir aizdomas, ka tas var būt saderīgs ar uzbrukumiem AIX iekārtām un Microsoft Logiem.
Sadarbojoties ar CERN datoru drošības grupu, ESET saprata, ka "unikāla starpplatformu" ļaunprogrammatūra ir vērsta uz augstas veiktspējas skaitļošanas (HPC) klasteriem. Dažos inficēšanās gadījumos izrādās, ka "trešās puses" ļaunprogrammatūra pārtver savienojumus ar SSH serveri, lai nozagtu akreditācijas datus, kas pēc tam tiek izmantoti, lai piekļūtu HPC klasteriem un Kobalos izvietošanai.
Kobalos koda bāze ir niecīga, taču tās ietekme nav vispār.
Kobalos būtībā ir aizmugures durvis. Kad ļaunprogrammatūra nokļūst superdatorā, kods iekļūst OpenSSH servera izpildāmā failā un palaiž aizmugures durvis, ja zvans tiek veikts, izmantojot noteiktu TCP izvades portu. Citas opcijas darbojas kā starpnieki tradicionālajiem savienojumiem ar komandu un vadības serveri (C2).
Kobalos nodrošina saviem operatoriem attālo piekļuvi failu sistēmām, ļauj tiem palaist termināļa sesijas un darbojas kā savienojuma punkti ar citiem serveriem, kas inficēti ar ļaunprātīgu programmatūru. ESET apgalvo, ka Kobalos unikālā iezīme ir tā spēja ar vienu komandu pārvērst jebkuru apdraudētu serveri par C2.
"Mēs nevarējām noteikt Kobalos operatoru nodomus," komentēja ESET. “Sistēmas administratori uzlauztajās iekārtās neatklāja nevienu citu ļaunprātīgu programmatūru, izņemot SSH akreditācijas datu zādzību. Mēs ceram, ka informācija, ko šodien atklājam mūsu jaunajā publikācijā, palīdzēs palielināt izpratni par šiem draudiem un atklāt tā darbību."
Lasi arī: