Эксперты: малыш Kobalos способен угнать суперкомпьютер

Татьяна Никитина 02 Февраля 2021 - 17:41

...

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Код зловреда, нацеленного на высокопроизводительные кластеры (HPC), непривычно мал, но сложен. Новый мультиплатформенный бэкдор замечен в атаках на Linux-серверы крупного азиатского интернет-провайдера, американского производителя средств защиты конечных устройств, европейского хостера и одного из поставщиков облачных вычислений.

Проведенный в ESET анализ показал, что Kobalos, как его нарекли в ИБ-компании, способен работать под Linux, BSD и Solaris, а также, возможно, совместим с IBM AIX и Microsoft Windows. В некоторых случаях операторы Kobalos используют вспомогательного зловреда, осуществляющего перехват SSH-соединений и кражу ключей, открывающих доступ к кластеру HPC.

Новоявленный зловред по сути представляет собой бэкдор. Он обеспечивает удаленный доступ к файловой системе, позволяет открыть сессию диалога с терминалом, а также умеет проксировать трафик для других зараженных машин.

Отличительной чертой Kobalos является его способность превращать зараженные серверы в новые C2 по команде оператора. Поскольку IP-адреса и порты командного сервера вшиты в код зловреда, его оператор получает возможность сгенерировать новые семплы и привязать их к новому C2.

Каким образом происходит заражение Kobalos, пока не установлено. В большинстве случаев вредоносный код был внедрен в демон OpenSSH (sshd) и включал функции бэкдора по запросу, отправленному источником с определенного порта TCP. Некоторые варианты Kobalos были оформлены в виде автономного выполняемого файла; они либо подключались к промежуточному C2-серверу, либо ждали соединения на заданном TCP-порту.

Разбор кода Kobalos оказался непростой задачей: он не был разбит на фрагменты. Вредоносная программа выполняется, как единая функция, которая рекурсивно вызывает саму себя для выполнения подзадач.

Все строки кода зашифрованы, что создает дополнительное препятствие для реверс-инжиниринга. Использовать бэкдор может только владелец закрытого 512-битного ключа RSA и пароля длиной 32 байта. После аутентификации происходит обмен ключами RC4, которые затем используются для шифрования коммуникаций.

Конечная цель операторов Kobalos пока неясна. Кроме OpenSSH-клиента, ворующего пароли, дополнительных зловредов на зараженных машинах не обнаружено. Для снижения рисков эксперты советуют ввести аутентификацию 2FA на доступ к SSH-серверам.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Читайте также

Мошенники навязывают мессенджер MAX

Яков Шпунт 26 Декабря 2025 - 10:24

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов подтверждения для портала «Госуслуги».

В качестве примера портал AndroidInsider привёл историю с пенсионеркой из Нижнего Тагила, о которой ранее сообщил телеграм-канал «Эксплоит».

Женщине позвонил злоумышленник, представившийся заместителем главного врача больницы, где она ранее работала. Он потребовал установить MAX, сославшись на якобы официальный документ с соответствующим предписанием. От установки приложения пенсионерку в итоге отговорили родственники.

По версии авторов «Эксплоита», целью атаки был «угон» учётной записи на «Госуслугах». Эту версию косвенно подтверждает и тот факт, что с начала декабря многие пользователи при входе на портал сталкивались с экраном, настойчиво предлагающим установить MAX — зачастую без возможности пропустить этот шаг.

В Минцифры официально признали, что интеграция с MAX была реализована для защиты от перехвата кодов подтверждения. При этом в ведомстве заверили, что возможность получения кодов по СМС сохранится для пользователей без смартфонов.

Помимо интеграции с «Госуслугами», в MAX хранятся номера документов, включая СНИЛС, ИНН, полис ОМС и паспортные данные. Эта информация также представляет интерес для мошенников.

Такие данные используются в атаках либо перепродаются на теневом рынке. Дополнительный интерес к MAX усиливает и анонсированная интеграция мессенджера с банковскими сервисами.

Параллельно MAX активно продвигает Минстрой России. Уже с августа начался перевод домовых чатов в российский мессенджер. Глава ведомства Ирек Файзуллин анонсировал для таких чатов новые функции, включая бота для напоминаний об оплате услуг ЖКХ.

При этом в Минстрое пообещали обеспечить высокий уровень защищённости сервиса — что особенно актуально, учитывая, что сфера ЖКХ также привлекает мошенников. Кроме того, домовые чаты активно используются и недобросовестными управляющими компаниями, в том числе для давления на конкурентов.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »