มัลแวร์ที่ ESET ตรวจพบและอธิบายไว้ ในบล็อก บริษัทในวันอังคารที่เกี่ยวข้องกับการโจมตีซูเปอร์คอมพิวเตอร์ที่ใช้โดยผู้ให้บริการอินเทอร์เน็ตรายใหญ่ของเอเชีย (ISP) ผู้ให้บริการรักษาความปลอดภัยปลายทางของสหรัฐฯ และเซิร์ฟเวอร์ส่วนตัวจำนวนหนึ่ง รวมถึงเป้าหมายอื่นๆ
ทีมรักษาความปลอดภัยทางไซเบอร์ตั้งชื่อมัลแวร์ Kobalos ตามชื่อ kobalos ซึ่งเป็นสิ่งมีชีวิตขนาดเล็กในตำนานเทพเจ้ากรีกที่ถือว่าเป็นอันตรายอย่างยิ่ง
Kobalos ผิดปกติด้วยเหตุผลหลายประการ รหัสฐานของมัลแวร์มีขนาดเล็ก แต่ซับซ้อนพอที่จะส่งผลกระทบต่อระบบปฏิบัติการ Linux, BSD และ Solaris เป็นอย่างน้อย ESET สงสัยว่าอาจเข้ากันได้กับการโจมตีเครื่อง AIX และ Microsoft หน้าต่าง
การทำงานร่วมกับกลุ่มรักษาความปลอดภัยคอมพิวเตอร์ CERN ทำให้ ESET ตระหนักว่ามัลแวร์ "ข้ามแพลตฟอร์มที่ไม่เหมือนใคร" กำลังกำหนดเป้าหมายคลัสเตอร์การประมวลผลประสิทธิภาพสูง (HPC) ในบางกรณีของการติดไวรัส ปรากฎว่ามัลแวร์ "บุคคลที่สาม" สกัดกั้นการเชื่อมต่อกับเซิร์ฟเวอร์ SSH เพื่อขโมยข้อมูลรับรอง ซึ่งจะถูกใช้เพื่อเข้าถึงคลัสเตอร์ HPC และการปรับใช้ Kobalos
ฐานรหัส Kobalos นั้นเล็ก แต่ผลกระทบนั้นไม่ได้เกิดขึ้นเลย
Kobalos เป็นแบ็คดอร์ เมื่อมัลแวร์โจมตีซูเปอร์คอมพิวเตอร์ โค้ดจะเจาะเข้าไปในเซิร์ฟเวอร์ปฏิบัติการ OpenSSH และเปิดแบ็คดอร์หากมีการโทรผ่านพอร์ตเอาต์พุต TCP เฉพาะ ตัวเลือกอื่นๆ ทำหน้าที่เป็นสื่อกลางสำหรับการเชื่อมต่อแบบดั้งเดิมกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2)
Kobalos ให้โอเปอเรเตอร์เข้าถึงระบบไฟล์จากระยะไกล อนุญาตให้เรียกใช้เซสชันเทอร์มินัล และทำหน้าที่เป็นจุดเชื่อมต่อกับเซิร์ฟเวอร์อื่นที่ติดมัลแวร์ ESET อ้างว่าคุณลักษณะเฉพาะของ Kobalos คือความสามารถในการเปลี่ยนเซิร์ฟเวอร์ที่ถูกบุกรุกให้เป็น C2 ด้วยคำสั่งเดียว
"เราไม่สามารถกำหนดความตั้งใจของผู้ดำเนินการ Kobalos" ESET แสดงความคิดเห็น “ไม่มีมัลแวร์อื่นใดนอกจากการขโมยข้อมูลประจำตัว SSH ถูกตรวจพบโดยผู้ดูแลระบบในเครื่องที่ถูกบุกรุก เราหวังว่ารายละเอียดที่เราเปิดเผยในวันนี้ในสิ่งพิมพ์ใหม่ของเราจะช่วยสร้างความตระหนักรู้เกี่ยวกับภัยคุกคามนี้และเปิดเผยกิจกรรมของภัยคุกคาม"
อ่าน: