Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення шкідливого програмного забезпечення під назвою Kobalos, яке атакує суперкомп'ютери, зокрема високопродуктивні кластери (HPC). Дослідження проводилось у співпраці з групою комп'ютерної безпеки CERN та іншими організаціями, які беруть участь у запобіганні атак на науково-дослідні мережі. Цілями загрози стали мережі університетів та маркетингові агенства Європи, постачальник рішень для захисту робочих станцій у Північній Америці, а також кілька приватних серверів.
Дослідники ESET проаналізували це невелике, але складне шкідливе програмне забезпечення, яке може поширюватися на більшість операційних систем, включно з Linux, BSD, Solaris та можливо навіть AIX та Windows. «Через невеликий розмір шкідливого коду та застосування багатьох прийомів загроза отримала назву Kobalos, яка в грецькій міфології використовувалась для позначення маленької небезпечної істоти», — пояснює Марк-Етьєн Левейле, дослідник компанії ESET. — Варто зазначити, що такий рівень складності рідко зустрічається у шкідливих програмах для Linux».
Kobalos — це бекдор з великим набором команд, які не розкривають наміри зловмисників. «Зокрема Kobalos надає віддалений доступ до файлової системи, дозволяє запускати термінальні сеанси та підтримувати проксі-з'єднання з іншими інфікованими серверами», — коментує дослідник ESET.
Цілі атак в різних частинах світу
Будь-який сервер, скомпрометований загрозою Kobalos, може бути перетворений оператором у командний сервер (C&C) за допомогою однієї команди. Оскільки IP-адреси та порти командного сервера закодовані у виконуваному файлі, кіберзлочинці можуть згодом створити нові зразки Kobalos для використання цього нового C&C. Крім того, в більшості інфікованих систем клієнт для захищеного зв'язку (SSH-клієнт) скомпрометований, щоб викрадати облікові дані.
«Облікові дані кожного, хто використовує SSH-клієнт інфікованого пристрою, будуть викрадені. Пізніше ця інформація може бути використана зловмисниками для інсталяції Kobalos на виявленому сервері», — додає Марк-Етьєн Левейле. Налаштування двофакторної аутентифікації для підключення до SSH-серверів знижує ризик інфікування, оскільки використання викрадених облікових даних може бути одним із способів поширення загрози на різні системи.
Більш детальна інформація про Kobalos доступна за посиланням.
Читайте також:
Аналіз у хмарній пісочниці: як покращити виявлення загроз
Надійне шифрування: як захистити дані від несанкціонованого доступу
Від інциденту до вирішення: основні кроки протидії та відновлення у випадку кібератаки