ESET обнаружил вредонос, целью которого являются кластеры для высокопроизводительных вычислений по всему миру
Эксперты компании ESET рассказали о новом вредоносном ПО, целью которого являются кластеры для высокопроизводительных вычислений по всему миру. Оно интересно по нескольким причинам. Несмотря на довольно малый размер кодовой базы (образцы, подвергнутые анализу, имели размер 25 Кб), малварь достаточно сложна для проведения атак на Linux, BSD и Solaris и, потенциально, может подходить для атак на AIX и Microsoft Windows. Еще одной отличительной чертой является способность превращать зараженные серверы в новые C&C по команде оператора. Из-за множества хитростей и малого размера кода исследователи назвали его Kobalos — в честь озорных древнегреческих духов, однажды ограбивших Геракла и обожающих обманывать и пугать людей.
В опубликованном специалистами исследовании рассказывается о предполагаемых начальных векторах компрометации, механизмах аутентификации и распространения, встроенных функциях и приводится технический анализ вредоносного кода. После этого эксперты указывают на признаки компрометации и применяемые методики MITRE ATT&CK.
ESET Research проанализировала Kobalos — ранее неизвестное, сложное, многоплатформенное вредоносное ПО, предназначенное для работы под Linux, FreeBSD и Solaris. Учитывая, что жертвами являются, в основном, известные организации, можно не сомневаться, что именно на них это ПО и было нацелено. При развёртывании Kobalos даёт доступ к файловой системе скомпрометированного хоста и удалённому терминалу, позволяя злоумышленникам выполнять произвольные команды.
У Kobalos примечательные сетевые возможности. Он может работать либо в пассивном режиме, либо в качестве бота, активно подключаясь к своим C&C-серверам. Любопытно, что и сами эти серверы скомпрометированы с помощью Kobalos: код для их использования есть во всех образцах этого вредоносного ПО.
Проведя широкое исследование сети, ESET Research смогла выявить и уведомить жертв Kobalos. Неизвестно, когда это ПО было разработано, но его первая известная активность, подтверждённая жертвой, зарегистрирована в конце 2019 года. Группа злоумышленников, управляющая Kobalos, действовала и на протяжении 2020 года. Техники атак на Linux продолжают развиваться, и авторы вредоносных программ прилагают много усилий к совершенствованию своих разработок. Kobalos — одна из таких программ.
- Kobalos — многоплатформенный бэкдор, работающий под Linux, FreeBSD и Solaris. Найдены признаки того, что это ПО может существовать под AIX и даже Windows.
- К целям Kobalos относятся известные организации, а атакам подверглись высокопроизводительные машины, серверы учебных заведений, поставщик средств безопасности для конечных точек и большой интернет-провайдер. Kobalos развёрнут на серверах в Европе, Северной Америке и Азии.
- Kobalos использует сложный механизм обфускации, затрудняющий его анализ.
- Любые скомпрометированные с помощью Kobalos серверы могут быть превращены в C&C-серверы для других скомпрометированных хостов. Для этого в ПО встроен необходимый код, который может быть в любой момент активирован оператором.
- На большинстве исследованных скомпрометированных хостов также было установлено ПО для кражи учётных данных OpenSSH. Это может объяснить способ распространения Kobalos.
- До сих пор неизвестны намерения авторов Kobalos. Не было найдено никаких подсказок о том, крадут ли они конфиденциальную информацию, преследуют денежную или какую-то иную выгоду. В скомпрометированных системах не обнаружено никакого другого вредоносного ПО, не считая инструмента для кражи учётных данных SSH.