Аналитики компании ESET рассказали о бэкдоре Kobalos, который нацелен на кластеры для высокопроизводительных вычислений по всему миру. Малварь отличается небольшим размером (изученные образцы «весили» всего 25 Кб) и способна атаковать Linux, FreeBSD и Solaris, а также, вероятно, представляет опасность для Windows- и AIX-систем.
Первая известная жертва малвари была обнаружена в конце 2019 года, но ESET заявляет, что малварь оставалась активной в течение всего 2020 года. Многие из скомпрометированных Kobalos систем были суперкомпьютерами и серверами в академическом и исследовательском секторах. Также в числе жертв малвари неизвестный поставщик ПО из Северной Америке, крупный интернет-провайдер в Азии, маркетинговые агентства и хостинг-провайдеры.
К сожалению, исследователям не удалось выявить изначальный вектор атаки, который позволил хакерам получить административный доступ к системам жертв для установки Kobalos. Но, судя по всему, проблема заключалась в том, что многие из скомпрометированных систем работали со старыми, неподдерживаемыми или непропатченными ОС и софтом.
Также не удалось установить, какие цели преследовали операторы Kobalos, так как у исследователей отсутствовал пейлоад для изучения. Суперкомпьютеры нередко атакуют с целью майнинга криптовалюты, однако не в этом случае. Известно лишь, что Kobalos дает своим операторам удаленный доступ к файловой системе и может выполнять произвольные команды через терминал.
«На скомпрометированных машинах, системные администраторы которых смогли провести расследование, был обнаружен троянизированный клиент OpenSSH, похищавший учетные данные SSH. Файл /usr/bin/sshfile был заменен модифицированным исполняемым файлом, который фиксировал имя пользователя, пароль и имя целевого хоста, а затем записывал эти данные в зашифрованный файл», — отмечают эксперты.
В целом ESET характеризует Kobalos как классический бэкдор, при помощи которого можно получить удаленный доступ к файловой системе, запустить шелл, выполнять произвольные команды, а также использовать зараженное устройство в качестве прокси. Кроме того, Kobalos позволяет превратить любой взломанный хост в C&C-сервер.
«Намерения авторов этой малвари до сих пор неизвестны. Мы не нашли никаких улик, указывающих на то, что они воруют конфиденциальную информацию, преследуют денежную выгоду или интересуются чем-то еще», — заключают исследователи.
