Атака вируса Kobalos на суперкомпьютеры

По сообщению компании ESET, ее специалисты обнаружили вредоносное ПО, которое атакует суперкомпьютеры – кластеры высокопроизводительных компьютеров (HPC). Целями Kobalos в Европе стали научно-исследовательские и университетские сети, хостинг-провайдер и крупное маркетинговое агентство. Кроме того, в числе целей – крупный азиатский интернет-провайдер, североамериканский поставщик антивирусных продуктов, а также несколько частных и правительственных серверов.

Эксперты отметили небольшие размеры и сложность вредоносного ПО, которое можно переносить на разные ОС, включая Linux, BSD, Solaris и, возможно, AIX и Windows. Из-за очень малого размера кода и множества уловок вредоносная программа получила название Kobalos (в греческой мифологии Кобалосы – маленькие озорные существа, которые пугают смертных). Кроме того, эксперты подчеркнули, что такой уровень сложности редко встречается во вредоносных программах для Linux.

Kobalos – это бэкдор, содержащий спектр команд, которые не раскрывают намерений злоумышленников. Вирус предоставляет удаленный доступ к файловой системе, дает возможность запускать терминальные сеансы и осуществлять прокси-соединения с другими серверами, зараженными Kobalos. Любой сервер, взломанный Kobalos, поясняют эксперты, может быть превращен в сервер управления и контроля (C&C) оператором, отправившим команду. Поскольку IP-адреса и порты C&C сервера жестко запрограммированы в исполняемый файл, операторы могут затем сгенерировать иные образцы Kobalos, которые используют этот новый C&C-сервер. Кроме того, в большинстве систем, скомпрометированных Kobalos, протокол защищенной связи (SSH) становится открытым для кражи учетных данных.

В качестве действенной меры по предотвращению кражи учетных данных специалисты ESET рекомендуют настроить двухфакторную аутентификацию для подключения к SSH-серверам.