Malware detectat de ESET și descris în blog companie de marți, se referă la atacuri asupra supercomputerelor utilizate de un important furnizor de servicii de internet (ISP) din Asia, un furnizor de securitate pentru punctele terminale din SUA și o serie de servere private, printre alte ținte.
Echipa de securitate cibernetică a numit malware-ul Kobalos după kobalos, o creatură mică din mitologia greacă care este considerată excepțional de rău intenționată.
Kobalos este neobișnuit din mai multe motive. Baza de cod a malware-ului este mică, dar suficient de sofisticată pentru a afecta cel puțin sistemele de operare Linux, BSD și Solaris. ESET suspectează că ar putea fi compatibil cu atacurile asupra mașinilor AIX și Microsoft Windows.
Lucrând cu grupul de securitate informatică CERN, ESET și-a dat seama că un malware „unic multiplatform” vizează clusterele de calcul de înaltă performanță (HPC). În unele cazuri de infecție, se dovedește că malware-ul „terț” interceptează conexiunile la serverul SSH pentru a fura acreditările, care sunt apoi folosite pentru a obține acces la clusterele HPC și implementările Kobalos.
Baza de cod Kobalos este mică, dar impactul său nu este deloc.
Kobalos este în esență o ușă din spate. Odată ce malware-ul lovește supercomputerul, codul pătrunde în executabilul serverului OpenSSH și lansează o ușă secundară dacă apelul este efectuat printr-un anumit port de ieșire TCP. Alte opțiuni acționează ca mediatori pentru conexiunile tradiționale la serverul de comandă și control (C2).
Kobalos oferă operatorilor săi acces de la distanță la sistemele de fișiere, le permite să ruleze sesiuni de terminal și acționează ca puncte de conectare la alte servere infectate cu malware. ESET susține că caracteristica unică a lui Kobalos este capacitatea sa de a transforma orice server compromis în C2 cu o singură comandă.
„Nu am putut determina intențiile operatorilor Kobalos”, a comentat ESET. „Niciun alt malware, în afară de furtul acreditărilor SSH, nu a fost detectat de administratorii de sistem pe mașinile compromise. Sperăm că detaliile pe care le dezvăluim astăzi în noua noastră publicație vor ajuta la creșterea gradului de conștientizare a acestei amenințări și la dezvăluirea activității acesteia.”
Citeste si: