HPC klastry ohrožuje malware Kobalos

Kobalos je backdoor obsahující různé příkazy, které neodhalují skutečný úmysl útočníků - poskytuje vzdálený přístup k souborovému systému, umožňuje vytvářet terminálové relace a poskytuje proxy připojení k dalším serverům infikovaným tímto malware.

Obětí tohoto škodlivého kódu byl i velký asijský poskytovatel internetového připojení, severoamerický výrobce bezpečnostního softwaru a také několik soukromě vlastněných serverů. ESET zkontaktoval všechny známé oběti tohoto škodlivého kódu a poskytl jim pomoc. Skutečný úmysl útočníků se zatím odhalit nepodařilo. Rovněž není známo, jak dlouho se tento škodlivý kód šíří.

Výzkumníci společnosti ESET prováděli reverzní analýzu tohoto malého, ale složitého malware, který je přenositelný do mnoha operačních systémů včetně Linuxu, BSD a Solarisu. Zjištění naznačují, že by mohl běžet i na Aix a Windows.

Jakýkoli server napadený Kobalem může být jediným vzdáleným příkazem operátora proměněný na řídící a kontrolní (C&C) server. Protože IP adresy a porty kontrolního serveru jsou pevně nakódované do spustitelného souboru, mohou operátoři vygenerovat nové vzorky Kobalos, které se pak z dalších infikovaných zařízení připojují k tomuto novému C&C serveru a poslouchají jeho příkazy.

Ve většině systémů kompromitovaných Kobalem je navíc SSH klient - program zodpovědný za zajištění zabezpečené komunikace - infikovaný tak, aby kradl přihlašovací údaje.

Kdokoliv, kdo na napadeném zařízení používá SSH klienta, riskuje kompromitaci přihlašovacích údajů. Tyto údaje mohou pak útočníci použít k pozdější instalaci Kobalu do nově objeveného serveru.

Tuto hrozbu zmírní přidání vícefaktorové autentizace do připojování k SSH serveru. Vypadá to totiž tak, že použití ukradených přístupových údajů je jedním ze způsobů, jak se Kobalos šíří do různých systémů.

Bezpečnostní řešení společnosti ESET detekují škodlivý kód Kobalos jako Linux/Kobalos nebo Linux/Agent.IV. Škodlivý kód, který zachytává přihlašovací údaje, jako Linux/SSHDoor.EV, Linux/SSHDoor.FB nebo Linux/SSHDoor.FC.

Malware Kobalos

Malware objevili analytici společnosti ESET a pojmenovali jej pro jeho malou velikost kódu a množství triků jako Kobalos - v řecké mytologii je kobalos malé a zlomyslné stvoření.

Kobalos útočí na superpočítače, nebo přesněji vysoce výkonné počítačové klastry (HPC - High Performance Computer). ESET na zmírňování útoků na tyto sítě vědeckého výzkumu spolupracoval s bezpečnostním týmem Evropské organizace pro jaderný výzkum (CERN) a dalšími organizacemi.

Článek ESET software spol. s r. o. ze dne neděle 7. února 2021

Další články od ESET software spol. s r. o.