Phần mềm độc hại được ESET phát hiện và mô tả trong blog công ty hôm thứ Ba, liên quan đến các cuộc tấn công vào siêu máy tính được sử dụng bởi Nhà cung cấp dịch vụ Internet (ISP) lớn ở châu Á, nhà cung cấp bảo mật điểm cuối của Hoa Kỳ và một số máy chủ riêng, trong số các mục tiêu khác.
Nhóm an ninh mạng đã đặt tên phần mềm độc hại là Kobalos theo tên của kobalos, một sinh vật nhỏ trong thần thoại Hy Lạp được coi là đặc biệt độc hại.
Kobalos khác thường vì một số lý do. Cơ sở mã của phần mềm độc hại này nhỏ nhưng đủ tinh vi để ảnh hưởng đến ít nhất các hệ điều hành Linux, BSD và Solaris. ESET nghi ngờ rằng nó có thể tương thích với các cuộc tấn công vào máy AIX và Microsoft Cửa sổ.
Làm việc với nhóm bảo mật máy tính CERN, ESET nhận ra rằng một phần mềm độc hại "đa nền tảng độc đáo" đang nhắm mục tiêu vào các cụm máy tính hiệu suất cao (HPC). Trong một số trường hợp lây nhiễm, hóa ra phần mềm độc hại "bên thứ ba" chặn các kết nối đến máy chủ SSH để lấy cắp thông tin đăng nhập, sau đó được sử dụng để truy cập vào các cụm HPC và triển khai Kobalos.
Cơ sở mã Kobalos rất nhỏ, nhưng tác động của nó không hề nhỏ.
Kobalos thực chất là một cửa hậu. Khi phần mềm độc hại tấn công siêu máy tính, mã sẽ đi vào tệp thực thi của máy chủ OpenSSH và khởi chạy một cửa sau nếu cuộc gọi được thực hiện thông qua một cổng đầu ra TCP cụ thể. Các tùy chọn khác đóng vai trò trung gian cho các kết nối truyền thống tới máy chủ chỉ huy và điều khiển (C2).
Kobalos cung cấp cho các nhà khai thác quyền truy cập từ xa vào các hệ thống tệp, cho phép họ chạy các phiên đầu cuối và hoạt động như điểm kết nối với các máy chủ khác bị nhiễm phần mềm độc hại. ESET tuyên bố rằng tính năng độc đáo của Kobalos là khả năng biến bất kỳ máy chủ bị xâm nhập nào thành C2 chỉ bằng một lệnh duy nhất.
ESET nhận xét: “Chúng tôi không thể xác định được ý định của những người điều hành Kobalos. “Không có phần mềm độc hại nào khác, ngoài việc đánh cắp thông tin đăng nhập SSH, được phát hiện bởi sysadmins trên các máy bị xâm nhập. Chúng tôi hy vọng rằng những chi tiết mà chúng tôi tiết lộ ngày hôm nay trong ấn phẩm mới của chúng tôi sẽ giúp nâng cao nhận thức về mối đe dọa này và tiết lộ hoạt động của nó. "
Đọc thêm: