Kobalos отличается сложным кодом, что большая редкость для вредоносного ПО, написанного под Linux.
Исследователи компании ESET рассказали о новом вредоносном ПО, атакующем суперкомпьютеры. Специалисты назвали его Kobalos в честь персонажа древнегреческой мифологии кобалоса – озорного духа, обожающего обманывать и пугать людей. Жертвами вредоноса уже стали крупный азиатский интернет-провайдер и американский поставщик решений безопасности.
Kobalos интересен по нескольким причинам. Его кодовая база очень маленькая, но достаточно сложная для того, чтобы атаковать Linux, BSD и Solaris. Более того, столь сложный код – большая редкость для вредоносных программ, созданных под Linux. По мнению специалистов, Kobalos также может подходить для атак на AIX и Microsoft Windows.
Совместно с командой компьютерной безопасности Европейской организации по ядерным исследованиям (ЦЕРН) исследователи ESET установили, что «уникальное мультиплатформенное» вредоносное ПО атакует вычислительные кластеры (HPC). В некоторых случаях дополнительное вредоносное ПО перехватывало SSH-подключение сервера с целью похищения учетных данных, с помощью которых атакующие получали доступ к HPC и развертывали Kobalos. Использование этого инфостилера частично объясняет, как распространяется вредонос.
Kobalos по сути своей является бэкдором. После установки на суперкомпьютере он внедряется в исполняемый файл (sshd) сервера OpenSSH и запускает функционал бэкдора, если будет сделан соответствующий вызов через определенный TCP-порт. Существуют и другие варианты Kobalos, не встраивающиеся в sshd. Эти варианты либо подключаются к C&C-серверу, играющему роль посредника, либо ожидают входящего соединения на заданном TCP-порту.
Kobalos предоставляет своим операторам удаленный доступ к файловым системам, позволяет запускать сеансы терминала, а также выступает в качестве точек подключения к другим серверам, зараженным вредоносным ПО.
Уникальной особенностью Kobalos является его способность превращать любой взломанный сервер в C&C-сервер с помощью лишь одной команды. Поскольку IP-адреса и порты C&C-сервера вшиты в исполняемый файл, операторы вредоноса могут сгенерировать новые образцы Kobalos, использующие этот новый C&C-сервер.
Какие цели преследуют операторы вредоноса, исследователям установить не удалось. Никакого другого вредоносного ПО, кроме самого Kobalos и инфостилера, на зараженных системах также не обнаружено.
Первое — находим постоянно, второе — ждем вас