Эксперты: малыш Kobalos способен угнать суперкомпьютер

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Эксперты: малыш Kobalos способен угнать суперкомпьютер

Код зловреда, нацеленного на высокопроизводительные кластеры (HPC), непривычно мал, но сложен. Новый мультиплатформенный бэкдор замечен в атаках на Linux-серверы крупного азиатского интернет-провайдера, американского производителя средств защиты конечных устройств, европейского хостера и одного из поставщиков облачных вычислений.

Проведенный в ESET анализ показал, что Kobalos, как его нарекли в ИБ-компании, способен работать под Linux, BSD и Solaris, а также, возможно, совместим с IBM AIX и Microsoft Windows. В некоторых случаях операторы Kobalos используют вспомогательного зловреда, осуществляющего перехват SSH-соединений и кражу ключей, открывающих доступ к кластеру HPC.

Новоявленный зловред по сути представляет собой бэкдор. Он обеспечивает удаленный доступ к файловой системе, позволяет открыть сессию диалога с терминалом, а также умеет проксировать трафик для других зараженных машин.

Отличительной чертой Kobalos является его способность превращать зараженные серверы в новые C2 по команде оператора. Поскольку IP-адреса и порты командного сервера вшиты в код зловреда, его оператор получает возможность сгенерировать новые семплы и привязать их к новому C2.

Каким образом происходит заражение Kobalos, пока не установлено. В большинстве случаев вредоносный код был внедрен в демон OpenSSH (sshd) и включал функции бэкдора по запросу, отправленному источником с определенного порта TCP. Некоторые варианты Kobalos были оформлены в виде автономного выполняемого файла; они либо подключались к промежуточному C2-серверу, либо ждали соединения на заданном TCP-порту.

Разбор кода Kobalos оказался непростой задачей: он не был разбит на фрагменты. Вредоносная программа выполняется, как единая функция, которая рекурсивно вызывает саму себя для выполнения подзадач.

 

Все строки кода зашифрованы, что создает дополнительное препятствие для реверс-инжиниринга. Использовать бэкдор может только владелец закрытого 512-битного ключа RSA и пароля длиной 32 байта. После аутентификации происходит обмен ключами RC4, которые затем используются для шифрования коммуникаций.

Конечная цель операторов Kobalos пока неясна. Кроме OpenSSH-клиента, ворующего пароли, дополнительных зловредов на зараженных машинах не обнаружено. Для снижения рисков эксперты советуют ввести аутентификацию 2FA на доступ к SSH-серверам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Банки обяжут возвращать клиентам цифровые рубли, переведенные мошенникам

После ввода в оборот цифрового рубля возврат банками таких средств, украденных мошенниками, будет осуществляться по тем же правилам, которые сейчас действуют в отношении безналичных операций по клиентским счетам.

Если кредитно-финансовая организация одобрила перевод по реквизитам, внесенным в черные списки Банка России, она должна будет возместить клиенту потери.

Запустить цифровой рубль в стране регулятор планировал в этом году, но в итоге пришлось отложить внедрение проекта еще на год. Тестирование новой формы нацвалюты еще не завершено, однако она уже начала входить в репертуар обуреваемых жаждой наживы мошенников.

Опрошенные «Известиями» эксперты отметили, что отслеживать переводы мошенникам в цифровых рублях будет легче: доступ к кошелькам с уникальными кодами не привязан к конкретному банку, их хранение осуществляется на специальной платформе Центробанка.

Все транзакции при этом фиксируются, однако для успешного противодействия мошенничеству придется ввести мониторинг в реальном времени и создать новую базу данных злоумышленников.

Закон, обязывающий банки отслеживать платежи мошенникам, согласуясь с черными списками ЦБ, вступил в силу в июле 2024 года. При обнаружении данных получателя в этой базе кредитная организация должна заблокировать перевод и уведомить инициатора; в противном случае ей придется в течение 30 дней вернуть клиенту средства, украденные аферистами.

Во II квартале 2025 года регулятор зафиксировал 273 тыс. мошеннических транзакций общим объемом 6,3 млрд рублей. Банки возместили жертвам обмана 5,2% этой суммы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru