ESET обнаруживает Kobalos: крошечную, но сложную угрозу Linux, атакующую суперкомпьютеры

ESET сотрудничала с командой компьютерной безопасности ЦЕРНа и другими организациями, чтобы помочь смягчить атаки на суперкомпьютеры, расположенные в научно-исследовательских сетях.

Братислава, Монреаль – исследователи ESET обнаружили Kobalos, вредоносную программу, которая атакует суперкомпьютеры – кластеры высокопроизводительных компьютеров (HPC). ESET сотрудничала с командой компьютерной безопасности ЦЕРНа и другими организациями, занимающимися смягчением атак на эти научно-исследовательские сети. Среди других целей был крупный азиатский провайдер, Североамериканский поставщик endpoint security, а также несколько частных серверов.

Исследователи ESET провели обратную разработку этой небольшой, но сложной вредоносной программы, переносимой на многие операционные системы, включая Linux, BSD, Solaris и, возможно, AIX и Windows. “Мы назвали эту вредоносную программу Kobalos за ее крошечный размер кода и множество трюков; в греческой мифологии кобалос-это маленькое озорное существо”, - объясняет Марк-Этьен Левейе, который исследовал Кобалоса. “Надо сказать, что такой уровень сложности редко встречается в вредоносных программах Linux”, - добавляет Левейе.

Kobalos-это бэкдор, содержащий широкие команды, которые не раскрывают намерения злоумышленников. “Короче говоря, Kobalos предоставляет удаленный доступ к файловой системе, предоставляет возможность создавать терминальные сеансы и позволяет проксировать соединения с другими зараженными Kobalos серверами",-говорит левей.

Любой сервер, скомпрометированный Kobalos, может быть превращен в сервер Command & Control (C&C) операторами, отправляющими одну команду. Поскольку IP-адреса и порты сервера C&C жестко закодированы в исполняемый файл, операторы могут затем генерировать новые образцы Kobalos, которые используют этот новый сервер C&C. Кроме того, в большинстве систем, скомпрометированных Kobalos, клиент для безопасной связи (SSH) скомпрометирован для кражи учетных данных.

"Любой, кто использует SSH-клиент скомпрометированной машины, получит свои учетные данные. Эти учетные данные затем могут быть использованы злоумышленниками для установки Kobalos на недавно обнаруженном сервере позже", - добавляет левей. Настройка двухфакторной аутентификации для подключения к SSH-серверам смягчит угрозу, поскольку использование украденных учетных данных, по-видимому, является одним из способов распространения этой угрозы на различные системы.

Дополнительную техническую информацию о компании Kobalos смотрите в блоге” Kobalos – a complex Linux threat to high performance computing infrastructure " на сайте WeLiveSecurity. Обязательно следуйте за мной ESET Research в Twitter для получения последних новостей от ESET Research.

Отрасль и регион скомпрометированных организаций

Материал подготовлен  Eset NOD32