Ang malware ay nakita ng ESET at inilarawan sa blog kumpanya noong Martes, ay nauugnay sa mga pag-atake sa mga supercomputer na ginagamit ng isang pangunahing Asian Internet Service Provider (ISP), isang endpoint security provider ng US at ilang pribadong server, bukod sa iba pang mga target.
Pinangalanan ng cybersecurity team ang malware na Kobalos pagkatapos ng kobalos, isang maliit na nilalang sa mitolohiyang Greek na itinuturing na pambihirang nakakahamak.
Ang kobalos ay hindi pangkaraniwan sa maraming kadahilanan. Ang codebase ng malware ay maliit, ngunit sapat na sopistikado upang maapektuhan ang hindi bababa sa Linux, BSD, at Solaris operating system. Pinaghihinalaan ng ESET na maaaring tugma ito sa mga pag-atake sa mga AIX machine at Microsoft Windows.
Nagtatrabaho sa CERN computer security group, napagtanto ng ESET na ang isang "natatanging cross-platform" na malware ay nagta-target ng mga high-performance computing (HPC) cluster. Sa ilang mga kaso ng impeksyon, lumalabas na ang "third-party" na malware ay humarang sa mga koneksyon sa SSH server upang magnakaw ng mga kredensyal, na pagkatapos ay ginagamit upang makakuha ng access sa mga HPC cluster at Kobalos deployment.
Ang Kobalos code base ay maliit, ngunit ang epekto nito ay hindi sa lahat.
Ang Kobalos ay mahalagang isang backdoor. Kapag ang malware ay tumama sa supercomputer, ang code ay bumagsak sa OpenSSH server executable at naglulunsad ng backdoor kung ang tawag ay ginawa sa pamamagitan ng isang partikular na TCP output port. Ang iba pang mga opsyon ay nagsisilbing mga tagapamagitan para sa mga tradisyonal na koneksyon sa command at control server (C2).
Binibigyan ng Kobalos ang mga operator nito ng malayuang pag-access sa mga file system, pinapayagan silang magpatakbo ng mga terminal session, at nagsisilbing mga punto ng koneksyon sa ibang mga server na nahawaan ng malware. Sinasabi ng ESET na ang natatanging tampok ng Kobalos ay ang kakayahang gawing C2 ang anumang nakompromisong server sa isang utos.
"Hindi namin natukoy ang intensyon ng mga operator ng Kobalos," komento ng ESET. “Walang ibang malware, maliban sa pagnanakaw ng mga kredensyal ng SSH, ang nakita ng mga sysadmin sa mga nakompromisong makina. Umaasa kami na ang mga detalyeng ibinubunyag namin ngayon sa aming bagong publikasyon ay makakatulong sa pagpapataas ng kamalayan sa banta na ito at ibunyag ang aktibidad nito."
Basahin din: