Компанія ESET виявила зловмисне програмне забезпечення, яке націлене на кластери для високопродуктивних обчислень по всьому світу

Експерти ESET розповіли про нове шкідливе програмне забезпечення, яке націлене на кластери для високопродуктивних обчислень по всьому світу. Це цікаво з кількох причин. Незважаючи на досить невеликий розмір кодової бази (проаналізовані зразки мали розмір 25 Кб), шкідливе ПО досить складне для здійснення атак на Linux, BSD і Solaris і, потенційно, може підійти для атак на AIX і Microsoft Windows. Ще одна відмінна риса - можливість перетворювати заражені сервери в нові C&Cs за командою оператора. Через безліч хитрощів і невеликого розміру коду дослідники назвали його Кобалосом – на честь пустотливих давньогрецьких духів, які колись грабували Геракла і люблять обманювати і лякати людей.

Опубліковане фахівцями дослідження розповідає про передбачуваних початкових векторах компрометації, механізмах аутентифікації і поширення, вбудованих функціях і забезпечує технічний аналіз шкідливого коду. Після цього експерти вказують на ознаки компромісу і використовувані методики mitre ATT&CK.

ESET Research проаналізувала Kobalos, раніше невідоме, складне багатоплатформне шкідливе програмне забезпечення, призначене для роботи на Linux, FreeBSD і Solaris. З огляду на, що жертвами в основному є відомі організації, можна не сумніватися, що це програмне забезпечення було спрямоване саме на них. При розгортанні Kobalos дає доступ до файлової системи скомпрометованого хоста і віддаленого терміналу, дозволяючи зловмисникам виконувати довільні команди.

Кобалос має чудові мережеві можливості. Він може працювати або в пасивному режимі, або як бот, активно підключаючись до своїх C&C серверів. Цікаво, що самі ці сервери скомпрометовані Kobalos: код для їх використання є у всіх зразках цього шкідливого ПЗ.

Провівши широке дослідження мережі, ESET Research змогла виявити та сповістити жертв Кобалоса. Коли було розроблено це програмне забезпечення, невідомо, але перша його відома активність, підтверджена потерпілим, була зареєстрована в кінці 2019 року. Група зловмисників, які експлуатували "Кобалос", діяла протягом усього 2020 року. Методи атак на Linux продовжують розвиватися, і автори шкідливих програм докладають багато зусиль для вдосконалення своїх дизайнів. Кобалос - одна з таких програм.

• Kobalos — це багатоплатформовий бекдор, який працює на Linux, FreeBSD та Solaris. Є ознаки того, що це програмне забезпечення може існувати під AIX і навіть Windows.

• Цілі Кобалоса включають відомі організації, а високопродуктивні машини, шкільні сервери, постачальник безпеки для кінцевих точок та великий інтернет-провайдер були атаковані. Кобалос розгорнутий на серверах в Європі, Північній Америці та Азії.
• Кобалос використовує складний механізм обфускації, який ускладнює аналіз.
• Будь-які сервери, скомпрометовані Kobalos, можуть бути перетворені на C&C сервери для інших скомпрометованих хостів. Для цього в програмне забезпечення вбудований необхідний код, який може бути активований оператором в будь-який момент.
• Більшість досліджуваних скомпрометованих хостів також мали встановлене програмне забезпечення для крадіжки облікових даних OpenSSH. Цим можна пояснити спосіб поширення Кобалоса.
• Наміри авторів Кобалоса досі невідомі. Не було знайдено жодних підказок щодо того, чи викрадали вони конфіденційну інформацію, переслідували грошову чи іншу вигоду. У скомпрометованих системах не було виявлено жодного іншого шкідливого програмного забезпечення, за винятком інструменту крадіжки облікових даних SSH.