Эксперты: малыш Kobalos способен угнать суперкомпьютер

Татьяна Никитина 02 Февраля 2021 - 17:41

...

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Код зловреда, нацеленного на высокопроизводительные кластеры (HPC), непривычно мал, но сложен. Новый мультиплатформенный бэкдор замечен в атаках на Linux-серверы крупного азиатского интернет-провайдера, американского производителя средств защиты конечных устройств, европейского хостера и одного из поставщиков облачных вычислений.

Проведенный в ESET анализ показал, что Kobalos, как его нарекли в ИБ-компании, способен работать под Linux, BSD и Solaris, а также, возможно, совместим с IBM AIX и Microsoft Windows. В некоторых случаях операторы Kobalos используют вспомогательного зловреда, осуществляющего перехват SSH-соединений и кражу ключей, открывающих доступ к кластеру HPC.

Новоявленный зловред по сути представляет собой бэкдор. Он обеспечивает удаленный доступ к файловой системе, позволяет открыть сессию диалога с терминалом, а также умеет проксировать трафик для других зараженных машин.

Отличительной чертой Kobalos является его способность превращать зараженные серверы в новые C2 по команде оператора. Поскольку IP-адреса и порты командного сервера вшиты в код зловреда, его оператор получает возможность сгенерировать новые семплы и привязать их к новому C2.

Каким образом происходит заражение Kobalos, пока не установлено. В большинстве случаев вредоносный код был внедрен в демон OpenSSH (sshd) и включал функции бэкдора по запросу, отправленному источником с определенного порта TCP. Некоторые варианты Kobalos были оформлены в виде автономного выполняемого файла; они либо подключались к промежуточному C2-серверу, либо ждали соединения на заданном TCP-порту.

Разбор кода Kobalos оказался непростой задачей: он не был разбит на фрагменты. Вредоносная программа выполняется, как единая функция, которая рекурсивно вызывает саму себя для выполнения подзадач.

Все строки кода зашифрованы, что создает дополнительное препятствие для реверс-инжиниринга. Использовать бэкдор может только владелец закрытого 512-битного ключа RSA и пароля длиной 32 байта. После аутентификации происходит обмен ключами RC4, которые затем используются для шифрования коммуникаций.

Конечная цель операторов Kobalos пока неясна. Кроме OpenSSH-клиента, ворующего пароли, дополнительных зловредов на зараженных машинах не обнаружено. Для снижения рисков эксперты советуют ввести аутентификацию 2FA на доступ к SSH-серверам.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Апреля 2026 - 19:59

Ideco NGFW Novum Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) Айдеко

В Ideco NGFW Novum появились новые функции ZTNA, DNS-Security и SD-WAN

Компания Ideco представила обновление межсетевого экрана Ideco NGFW Novum. Новый релиз заметно расширяет функциональность продукта: в него вошли централизованное управление, доработки модуля защиты DNS, новые сценарии ZTNA и встроенные механизмы SD-WAN.

Одним из главных изменений стала платформа Ideco Center для централизованного управления.

В ней появилась поддержка высокопроизводительных контекстов и геораспределённого кластера из двух узлов в разных дата-центрах. При этом отказ одного из узлов, как заявляется, не должен прерывать управление инфраструктурой. Также добавлен централизованный сбор журналов IPS и WAF с возможностью выгрузки в SIEM.

Отдельно доработан модуль DNS-Security. В системе появился журнал DNS-запросов, где можно отслеживать обмен DNS-сообщениями при включённом логировании и активированном модуле защиты. Сам модуль предназначен для выявления угроз, которые не всегда видны обычным механизмам межсетевого экрана, включая DGA-домены, DNS-туннелирование, обращения к управляющей инфраструктуре, фишинговые и недавно зарегистрированные домены.

Изменения затронули и ZTNA-клиент. Теперь пользователя можно привязывать к конкретному устройству, а сертификат использовать как дополнительный фактор авторизации в VPN. Сертификаты можно выпускать через NGFW или использовать собственные. В сочетании с логином, паролем и одноразовым кодом это позволяет собрать многофакторную схему доступа.

В блоке SD-WAN появились SLA-профили. Это означает, что маршрутизация теперь может учитывать параметры вроде задержки, джиттера и потери пакетов. Если канал перестаёт соответствовать заданному профилю, узел NGFW может переключить маршрут. Все такие переключения фиксируются в журнале с указанием причины.

Кроме того, в релиз добавили интеграцию с базой ФинЦЕРТ. Благодаря этому в правилах межсетевого экрана, контент-фильтра и IPS можно использовать соответствующие индикаторы компрометации.

Изменения затронули и кластеризацию. В обновлении заявлены синхронизация FIB-таблицы и состояния LACP-интерфейсов между узлами, поддержка Graceful Restart для BGP и OSPF, синхронизация базы отчётов между нодами, а также ускорение переключения внутри кластера.

В части ИБ-функций добавлены защита от ICMP-туннелирования, авторизация администраторов по SSH-ключу и двухфакторная аутентификация для административного доступа.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!