ESET-ի կողմից հայտնաբերված և նկարագրված չարամիտ ծրագիր բլոգում ընկերությունը երեքշաբթի օրը, ի թիվս այլ թիրախների, վերաբերում է սուպերհամակարգիչների վրա հարձակումներին, որոնք օգտագործվում են ասիական խոշոր ինտերնետ ծառայությունների մատակարարի (ISP), ԱՄՆ վերջնական կետի անվտանգության մատակարարի և մի շարք մասնավոր սերվերների կողմից:
Կիբերանվտանգության թիմը չարամիտ ծրագրին անվանել է «Կոբալոս»՝ ի պատիվ հունական դիցաբանության փոքր արարածի, որը համարվում է բացառապես չարամիտ կոբալոս:
Կոբալոսն անսովոր է մի շարք պատճառներով. Չարամիտ ծրագրի կոդերի բազան փոքր է, բայց բավական բարդ, որպեսզի ազդի առնվազն Linux, BSD և Solaris օպերացիոն համակարգերի վրա: ESET-ը կասկածում է, որ այն կարող է համատեղելի լինել AIX մեքենաների վրա հարձակումների և Microsoft Windows.
Աշխատելով CERN համակարգչային անվտանգության խմբի հետ՝ ESET-ը հասկացավ, որ «եզակի միջպլատֆորմային» չարամիտ ծրագիրը ուղղված է բարձր արդյունավետությամբ հաշվողական (HPC) կլաստերներին: Վարակման որոշ դեպքերում պարզվում է, որ «երրորդ կողմի» չարամիտ ծրագիրն ընդհատում է կապերը SSH սերվերի հետ՝ հավատարմագրերը գողանալու համար, որոնք այնուհետև օգտագործվում են HPC կլաստերներին և Kobalos տեղակայումներին հասանելիություն ստանալու համար:
Kobalos ծածկագրի բազան փոքր է, բայց դրա ազդեցությունն ամենևին էլ չկա:
Կոբալոսն ըստ էության ետնադուռ է: Երբ չարամիտ ծրագիրը հարվածում է սուպերհամակարգչին, կոդը թափանցում է OpenSSH սերվերի գործարկվող սարքը և գործարկում է հետնադուռ, եթե զանգը կատարվում է հատուկ TCP ելքային պորտի միջոցով: Այլ ընտրանքներ հանդես են գալիս որպես միջնորդներ հրամանատարության և կառավարման սերվերի (C2) ավանդական կապերի համար:
Kobalos-ն իր օպերատորներին տալիս է հեռակա մուտք դեպի ֆայլային համակարգեր, թույլ է տալիս նրանց գործարկել տերմինալային նիստերը և գործում է որպես միացման կետեր չարամիտ ծրագրերով վարակված այլ սերվերների հետ: ESET-ը պնդում է, որ Kobalos-ի եզակի առանձնահատկությունն այն է, որ ցանկացած վտանգված սերվեր մեկ հրամանով վերածելու C2-ի:
«Մենք չկարողացանք պարզել Kobalos օպերատորների մտադրությունները», - մեկնաբանել է ESET-ը: «Ոչ մի այլ չարամիտ ծրագիր, բացի SSH հավատարմագրերը գողանալուց, չի հայտնաբերվել վտանգված մեքենաների վրա sysadmin-ների կողմից: Հուսով ենք, որ այն մանրամասները, որոնք մենք այսօր բացահայտում ենք մեր նոր հրապարակման մեջ, կօգնեն բարձրացնել այս սպառնալիքի մասին իրազեկությունը և բացահայտել դրա գործունեությունը»:
Կարդացեք նաև.