Malware detectado pela ESET e descrito no blog empresa na terça-feira, refere-se a ataques a supercomputadores usados por um grande provedor asiático de serviços de Internet (ISP), um provedor de segurança de terminais dos EUA e vários servidores privados, entre outros alvos.
A equipe de segurança cibernética nomeou o malware Kobalos em homenagem ao kobalos, uma pequena criatura da mitologia grega que é considerada excepcionalmente maliciosa.
Kobalos é incomum por vários motivos. A base de código do malware é pequena, mas sofisticada o suficiente para afetar pelo menos os sistemas operacionais Linux, BSD e Solaris. A ESET suspeita que possa ser compatível com ataques a máquinas AIX e Microsoft Janelas.
Trabalhando com o grupo de segurança de computadores do CERN, a ESET percebeu que um malware "único de plataforma cruzada" tinha como alvo clusters de computação de alto desempenho (HPC). Em alguns casos de infecção, o malware "de terceiros" intercepta conexões com o servidor SSH para roubar credenciais, que são usadas para obter acesso a clusters HPC e implantações Kobalos.
A base de código Kobalos é pequena, mas seu impacto não é nada.
Kobalos é essencialmente um backdoor. Uma vez que o malware atinge o supercomputador, o código entra no executável do servidor OpenSSH e lança um backdoor se a chamada for feita através de uma porta de saída TCP específica. Outras opções atuam como mediadores para conexões tradicionais com o servidor de comando e controle (C2).
A Kobalos oferece a seus operadores acesso remoto a sistemas de arquivos, permite que eles executem sessões de terminal e atua como pontos de conexão para outros servidores infectados com malware. A ESET afirma que o recurso exclusivo do Kobalos é sua capacidade de transformar qualquer servidor comprometido em C2 com um único comando.
"Não conseguimos determinar as intenções dos operadores Kobalos", comentou a ESET. “Nenhum outro malware, além de roubar credenciais SSH, foi detectado pelos administradores de sistema nas máquinas comprometidas. Esperamos que os detalhes que revelamos hoje em nossa nova publicação ajudem a aumentar a conscientização sobre essa ameaça e revelar sua atividade."
Leia também: