Кобольд под Linux
Эксперты компании ESET выявили довольно оригинальный вредонос, который прицельно атакует суперкомпьютеры и мощные серверы. В ESET эту программу назвали Kobalos (в греческой мифологии так называли озорных духов, любителей наводить беспорядок и пугать смертных; в немецком фольклоре похожие существа фигурировали под названием кобольдов).
К настоящему моменту экспертам удалось отследить атаки к суперкомпьютерам, которые использовали крупный азиатский телеком и американская компания, специализирующаяся на защите информации. Также атакован ряд частных серверов и другие объекты.
Хотя Kobalos номинально является бэкдором, исследователи отметили многочисленные особенности, позволяющие говорить о его уникальности. Несмотря на малый размер, он весьма успешно атакует операционные системы Linux, BSD и Solaris. В ESET подозревают, что он может использоваться и для атак на AIX или Microsoft Windows.
Кросс-платформенный вредонос ставит бэкдоры на суперкомпьютерыВ исследованных экспертами ESET случаях атак на суперкомпьютерные кластеры обнаружилось, что помимо Kobalos атакующие использовали еще один вредонос, которые перехватывал серверные SSH-соединения и крал реквизиты доступа, через которые внедрялся сам Kobalos.
Ботнет из суперкомпьютеров?Проникнув в целевую систему Kobalos, внедряется в исполняемый файл OpenSSH и ожидает вызова через отдельно взятый TCP-порт.
В качестве бэкдора Kobalos открывает своим операторам доступ к файловым системам, позволяет им запускать терминал, но также может выступать в роли узла сети, объединяющего зараженные серверы, а также в любой момент превращать зараженную систему в контрольный сервер для этого ботнета — одной командой.
При этом IP-адрес контрольного сервера зашит в код каждого сэмпла Kobalos. По-видимости, при смене адреса операторы распространяют обновления по всему ботнету, чтобы локальные программы начинали обращаться к новому контрольному серверу.
Анализ кода был существенно затруднен: Kobalos представляет собой, по выражению экспертов ESET, «одиночную функцию, которая рекурсивно обращается к себе для выполнения вторичных функций». Весь код зашифрован, что дополнительно затрудняло анализ и обратную инженерию.
Конечная цель создателей Kobalos остается загадкой: пока никаких других вредоносов, кроме средства кражи паролей, в одном с ним контексте обнаружить не удалось.
«Все это, равно как и отмеченная экспертами ESET сложность и продуманность вредоноса, указывает на целевую природу атак, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Скорее всего, операторы Kobalos знают, что атакуют, и первичное заражение производится вручную. Вредонос, по-видимому, писался специально под данную кампанию. Хотя ее конечная цель пока остается загадкой: возможно речь идет о создании ботнета особой мощности».
Короткая ссылка РаспечататьДругие материалы рубрики
Государство передумало субсидировать экспорт российских ИБ-решений
Дмитрий Медведев: Россию могут отключить от интернета
ОНЛАЙН-конференция CNews «Информационная безопасность 2021» состоится 2 марта
Украден домен Perl, одного из самых известных языков программирования
Разработчика VPN и файерволлов «изощренно» взломали через его собственные разработки
Cisco сняла популярные роутеры с поддержки, за которую клиенты готовы были платить
Техника Док-станции для ноутбуков с USB-C до 5000 рублей: хиты продажСамые мощные обогреватели для дачи и дома: выбор ZOOMТехноблогПри каких температурах может работать смартфон и другие гаджеты?Обзор ноутбука HP EliteBook x360 830 G7: бизнес-класс для динамичныхПоказать еще Тема месяца Обзор CNews:ИТ-тренды 2021
Рейтинг: самые востребованные технологии в России
Книга месяца Почему вам надо прочитать книгу «Бизнес в условиях перемен»Александр Глазков
председатель совета директоров компании «Диасофт»
Технология месяца Как менять бизнес-процессы компании в режиме реального времениЧто дает бизнесу
Process Intelligence?