Шкідливе ПО, виявлене ESET і описане в блозі компанії у вівторок, відноситься до атак на суперкомп’ютери, які використовуються великим азіатським інтернет-провайдером (ISP), постачальником безпеки кінцевих точок в США і низкою приватних серверів, серед інших цілей.
Команда з кібербезпеки назвала шкідливу програму Kobalos на честь кобалоса, маленької істоти в грецькій міфології, яка вважається виключно шкідливою.
Kobalos незвичайний по ряду причин. Кодова база шкідливого ПО мала, але досить складна, щоб вплинути як мінімум на операційні системи Linux, BSD і Solaris. ESET підозрює, що він може бути сумісний з атаками на машини AIX і Microsoft Windows.
Працюючи з групою комп’ютерної безпеки CERN, компанія ESET усвідомила, що «унікальна мультиплатформенна» шкідлива програма була націлена на кластери високопродуктивних комп’ютерів (HPC). У деяких випадках зараження виявляється, що «стороння» шкідлива програма перехоплює з’єднання з SSH-сервером для крадіжки облікових даних, які потім використовуються для отримання доступу до кластерів HPC і розгортання Kobalos.
Кодова база Kobalos крихітна, але її вплив – зовсім ні.
Kobalos – це, по суті, бекдор. Після того, як шкідлива програма потрапляє на суперкомп’ютер, код заривається в виконуваний файл сервера OpenSSH і запускає бекдор, якщо виклик виконується через певний вихідний порт TCP. Інші варіанти діють як посередники для традиційних з’єднань з сервером управління і контролю (C2).
Kobalos надає своїм операторам віддалений доступ до файлових систем, дозволяє їм запускати термінальні сеанси, а також виступає в якості точок підключення до інших серверів, зараженим шкідливим ПО. ESET заявляє, що унікальною особливістю Kobalos є його здатність перетворити будь-який зламаний сервер в C2 за допомогою однієї команди.
«Нам не вдалося визначити наміри операторів Kobalos», – прокоментували ESET. «Ніякого іншого шкідливого ПО, за винятком крадіжки облікових даних SSH, не було виявлено системними адміністраторами зламаних машин. Сподіваємося, що подробиці, які ми розкриваємо сьогодні в нашій новій публікації, допоможуть підвищити обізнаність про цю загрозу і виявити її активність».
Читайте також: