Оригинальный троян взламывает суперкомпьютеры по всему миру

0
395

Кобольд под Linux

Эксперты компании ESET выявили довольно оригинальный вредонос,
который прицельно атакует суперкомпьютеры и мощные серверы. В ESET эту
программу назвали Kobalos (в греческой мифологии так называли озорных духов,
любителей наводить беспорядок и пугать смертных; в немецком фольклоре похожие
существа фигурировали под названием кобольдов).

К настоящему моменту экспертам удалось отследить атаки к
суперкомпьютерам, которые использовали крупный азиатский телеком и американская
компания, специализирующаяся на защите информации. Также атакован ряд частных
серверов и другие объекты.

Хотя Kobalos номинально является бэкдором, исследователи
отметили многочисленные особенности, позволяющие говорить о его уникальности.
Несмотря на малый размер, он весьма успешно атакует операционные системы Linux,
BSD и Solaris. В ESET подозревают, что он может использоваться и для атак на AIX
или Microsoft Windows.

ЧИТАТЬ ТАКЖЕ:  Россиянам на год продлили льготный роуминг с Белоруссией

Оригинальный троян взламывает суперкомпьютеры по всему миру

Кросс-платформенный вредонос ставит бэкдоры на суперкомпьютеры

В исследованных экспертами ESET случаях атак на
суперкомпьютерные кластеры обнаружилось, что помимо Kobalos атакующие использовали
еще один вредонос, которые перехватывал серверные SSH-соединения и крал
реквизиты доступа, через которые внедрялся сам Kobalos.

Ботнет из
суперкомпьютеров?

Проникнув в целевую систему Kobalos, внедряется в исполняемый
файл OpenSSH и ожидает вызова через отдельно взятый TCP-порт.

В качестве бэкдора Kobalos открывает своим операторам доступ к
файловым системам, позволяет им запускать терминал, но также может выступать в
роли узла сети, объединяющего зараженные серверы, а также в любой момент
превращать зараженную систему в контрольный сервер для этого ботнета — одной
командой.

При этом IP-адрес контрольного сервера зашит в код каждого
сэмпла Kobalos. По-видимости, при смене адреса операторы распространяют
обновления по всему ботнету, чтобы локальные программы начинали обращаться к
новому контрольному серверу.

ЧИТАТЬ ТАКЖЕ:  Samsung скопирует у LG фишку, которая могла бы спасти ее мобильный бизнес

Анализ кода был существенно затруднен: Kobalos представляет
собой, по выражению экспертов ESET, «одиночную функцию, которая рекурсивно
обращается к себе для выполнения вторичных функций». Весь код зашифрован, что
дополнительно затрудняло анализ и обратную инженерию.

Конечная цель создателей Kobalos остается загадкой: пока
никаких других вредоносов, кроме средства кражи паролей, в одном с ним
контексте обнаружить не удалось.

«Все это, равно как и отмеченная экспертами ESET сложность и
продуманность вредоноса, указывает на целевую природу атак, — отмечает Дмитрий Кирюхин, эксперт по информационной
безопасности компании SEC Consult Services. — Скорее всего, операторы Kobalos
знают, что атакуют, и первичное заражение производится вручную. Вредонос,
по-видимому, писался специально под данную кампанию. Хотя ее конечная цель пока
остается загадкой: возможно речь идет о создании ботнета особой мощности».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь