Эксперты: малыш Kobalos способен угнать суперкомпьютер

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Код зловреда, нацеленного на высокопроизводительные кластеры (HPC), непривычно мал, но сложен. Новый мультиплатформенный бэкдор замечен в атаках на Linux-серверы крупного азиатского интернет-провайдера, американского производителя средств защиты конечных устройств, европейского хостера и одного из поставщиков облачных вычислений.

Проведенный в ESET анализ показал, что Kobalos, как его нарекли в ИБ-компании, способен работать под Linux, BSD и Solaris, а также, возможно, совместим с IBM AIX и Microsoft Windows. В некоторых случаях операторы Kobalos используют вспомогательного зловреда, осуществляющего перехват SSH-соединений и кражу ключей, открывающих доступ к кластеру HPC.

Новоявленный зловред по сути представляет собой бэкдор. Он обеспечивает удаленный доступ к файловой системе, позволяет открыть сессию диалога с терминалом, а также умеет проксировать трафик для других зараженных машин.

Отличительной чертой Kobalos является его способность превращать зараженные серверы в новые C2 по команде оператора. Поскольку IP-адреса и порты командного сервера вшиты в код зловреда, его оператор получает возможность сгенерировать новые семплы и привязать их к новому C2.

Каким образом происходит заражение Kobalos, пока не установлено. В большинстве случаев вредоносный код был внедрен в демон OpenSSH (sshd) и включал функции бэкдора по запросу, отправленному источником с определенного порта TCP. Некоторые варианты Kobalos были оформлены в виде автономного выполняемого файла; они либо подключались к промежуточному C2-серверу, либо ждали соединения на заданном TCP-порту.

Разбор кода Kobalos оказался непростой задачей: он не был разбит на фрагменты. Вредоносная программа выполняется, как единая функция, которая рекурсивно вызывает саму себя для выполнения подзадач.

 

Все строки кода зашифрованы, что создает дополнительное препятствие для реверс-инжиниринга. Использовать бэкдор может только владелец закрытого 512-битного ключа RSA и пароля длиной 32 байта. После аутентификации происходит обмен ключами RC4, которые затем используются для шифрования коммуникаций.

Конечная цель операторов Kobalos пока неясна. Кроме OpenSSH-клиента, ворующего пароли, дополнительных зловредов на зараженных машинах не обнаружено. Для снижения рисков эксперты советуют ввести аутентификацию 2FA на доступ к SSH-серверам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла Indeed PAM 3.0 с новым компонентом — PostgreSQL Proxy

Компания «Индид» представила обновленную версию своего продукта для управления доступом привилегированных пользователей — Indeed Privileged Access Manager (Indeed PAM). В версии 3.0 разработчики внедрили ряд значительных улучшений, включая новый компонент PostgreSQL Proxy.

Помимо этого, релиз отмечается усовершенствованным мастером установки и конфигурации, а также возможностью создания пользовательских типов сервисных подключений.

Одним из ключевых нововведений в Indeed PAM 3.0 стал компонент PostgreSQL Proxy. С его помощью администраторы могут запускать SQL-сессии и анализировать текстовые логи, содержащие все выполненные пользователями SQL-запросы. Это решение позволяет усилить контроль за привилегированными сессиями и упрощает расследование инцидентов.

Дополнительно для повышения защиты привилегированных учетных записей была добавлена функция проверки отпечатков SSH-ключей серверов. Эта технология подтверждает подлинность ресурсов при подключении, предотвращая атаки типа «человек посередине» (MITM) и обеспечивая безопасность доступа к критически важным системам.

Разработчики также сосредоточились на повышении удобства использования продукта. Процессы установки, обновления и настройки системы теперь объединены в единый интерфейс управления. Новый мастер установки значительно сокращает время и ресурсы, необходимые для первоначальной настройки и последующего администрирования системы.

В консоль управления добавлен новый раздел, позволяющий администраторам централизованно управлять службами, расположенными на Windows-хостах. Благодаря этому нововведению пароли учетных записей, используемых для запуска служб, теперь обновляются автоматически. После смены пароля — вручную или по расписанию — службы запускаются с уже актуальными учетными данными.

В предыдущих версиях Indeed PAM поддерживались только определённые типы сервисных подключений. В версии 3.0 пользователям предоставлена возможность создавать собственные типы подключений для работы с новыми, нестандартными ресурсами. Это позволяет компании усилить контроль над привилегированными учетными записями, связанными с редкими типами инфраструктуры, характерными для многих организаций.

«При разработке Indeed PAM мы ориентируемся на актуальные потребности рынка и запросы заказчиков. В новой версии мы сосредоточились на создании универсального, функционального решения, которое отвечает современным требованиям информационной безопасности. Мы также стремимся предоставить пользователям гибкие и удобные инструменты для защиты учетных данных. Выпуск Indeed PAM 3.0 — это ещё один шаг к реализации этих задач», — прокомментировал Илья Моисеев, руководитель продукта Indeed PAM в компании «Индид».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru