Поделиться
Оригинальный троян взламывает суперкомпьютеры по всему миру
Возможно, кто-то строит ботнет из серверов и суперкомпьютерных кластеров. Вредонос Kobalos может превратить любую зараженную машину в командный сервер.
Кобольд под Linux
Эксперты компании ESET выявили довольно оригинальный вредонос, который прицельно атакует суперкомпьютеры и мощные серверы. В ESET эту программу назвали Kobalos (в греческой мифологии так называли озорных духов, любителей наводить беспорядок и пугать смертных; в немецком фольклоре похожие существа фигурировали под названием кобольдов).
К настоящему моменту экспертам удалось отследить атаки к суперкомпьютерам, которые использовали крупный азиатский телеком и американская компания, специализирующаяся на защите информации. Также атакован ряд частных серверов и другие объекты.
Хотя Kobalos номинально является бэкдором, исследователи отметили многочисленные особенности, позволяющие говорить о его уникальности. Несмотря на малый размер, он весьма успешно атакует операционные системы Linux, BSD и Solaris. В ESET подозревают, что он может использоваться и для атак на AIX или Microsoft Windows.
В исследованных экспертами ESET случаях атак на суперкомпьютерные кластеры обнаружилось, что помимо Kobalos атакующие использовали еще один вредонос, которые перехватывал серверные SSH-соединения и крал реквизиты доступа, через которые внедрялся сам Kobalos.
Ботнет из суперкомпьютеров?
Проникнув в целевую систему Kobalos, внедряется в исполняемый файл OpenSSH и ожидает вызова через отдельно взятый TCP-порт.
В качестве бэкдора Kobalos открывает своим операторам доступ к файловым системам, позволяет им запускать терминал, но также может выступать в роли узла сети, объединяющего зараженные серверы, а также в любой момент превращать зараженную систему в контрольный сервер для этого ботнета — одной командой.
При этом IP-адрес контрольного сервера зашит в код каждого сэмпла Kobalos. По-видимости, при смене адреса операторы распространяют обновления по всему ботнету, чтобы локальные программы начинали обращаться к новому контрольному серверу.
Анализ кода был существенно затруднен: Kobalos представляет собой, по выражению экспертов ESET, «одиночную функцию, которая рекурсивно обращается к себе для выполнения вторичных функций». Весь код зашифрован, что дополнительно затрудняло анализ и обратную инженерию.
Конечная цель создателей Kobalos остается загадкой: пока никаких других вредоносов, кроме средства кражи паролей, в одном с ним контексте обнаружить не удалось.
«Все это, равно как и отмеченная экспертами ESET сложность и продуманность вредоноса, указывает на целевую природу атак, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Скорее всего, операторы Kobalos знают, что атакуют, и первичное заражение производится вручную. Вредонос, по-видимому, писался специально под данную кампанию. Хотя ее конечная цель пока остается загадкой: возможно речь идет о создании ботнета особой мощности».
Короткая ссылка
