Skadelig programvare oppdaget av ESET og beskrevet i bloggen selskapet på tirsdag, forholder seg til angrep på superdatamaskiner brukt av en stor asiatisk Internett-leverandør (ISP), en amerikansk leverandør av endepunktsikkerhet og en rekke private servere, blant andre mål.
Nettsikkerhetsteamet oppkalte skadevaren Kobalos etter kobalos, en liten skapning i gresk mytologi som anses som usedvanlig ondsinnet.
Kobalos er uvanlig av flere grunner. Skadevarens kodebase er liten, men sofistikert nok til å påvirke i det minste operativsystemene Linux, BSD og Solaris. ESET mistenker at den kan være kompatibel med angrep på AIX-maskiner og Microsoft Windows.
Ved å samarbeide med CERN-datasikkerhetsgruppen innså ESET at en "unik cross-platform" skadelig programvare var rettet mot høyytelses databehandling (HPC)-klynger. I noen tilfeller av infeksjon, viser det seg at "tredjeparts" malware fanger opp tilkoblinger til SSH-serveren for å stjele legitimasjon, som deretter brukes til å få tilgang til HPC-klynger og Kobalos-distribusjoner.
Kobalos-kodebasen er liten, men virkningen er ikke i det hele tatt.
Kobalos er egentlig en bakdør. Når skadelig programvare treffer superdatamaskinen, graver koden seg inn i den kjørbare OpenSSH-serveren og starter en bakdør hvis anropet gjøres gjennom en spesifikk TCP-utgangsport. Andre alternativer fungerer som formidlere for tradisjonelle tilkoblinger til kommando- og kontrollserveren (C2).
Kobalos gir sine operatører ekstern tilgang til filsystemer, lar dem kjøre terminaløkter og fungerer som koblingspunkter til andre servere infisert med skadelig programvare. ESET hevder at den unike egenskapen til Kobalos er dens evne til å gjøre enhver kompromittert server til C2 med en enkelt kommando.
"Vi klarte ikke å fastslå intensjonene til Kobalos-operatørene," kommenterte ESET. "Ingen annen skadelig programvare, bortsett fra å stjele SSH-legitimasjon, ble oppdaget av systemadministratorer på de kompromitterte maskinene. Vi håper at detaljene vi avslører i dag i vår nye publikasjon vil bidra til å øke bevisstheten om denne trusselen og avsløre dens aktivitet."
Les også: