Ερευνητές της εταιρείας κυβερνοασφάλειας ESET ανέλυσαν κακόβουλο λογισμικό που στοχεύει συμπλέγματα συστημάτων υψηλής υπολογιστικής απόδοσης (HPC), ανάμεσα σε άλλους στόχους υψηλού προφίλ. Μετά από αντίστροφη μηχανική (reverse engineering) αυτού του μικρού, αν και περίπλοκου, κακόβουλου λογισμικού, το οποίο μπορεί να μεταφερθεί σε πολλά λειτουργικά συστήματα, συμπεριλαμβανομένων Linux, BSD, Solaris, και πιθανότατα ΑΙΧ και Windows. Η εταιρεία έδωσε την ονομασία Kobalos σε αυτό το κακόβουλο λογισμικό.
Η ανάλυση του Kobalos κατέδειξε ότι μερικές φορές είναι εφικτός ο προσδιορισμός ενός απομακρυσμένου συστήματος για παραβιάσεις μέσω σύνδεσης στον διακομιστή SSH χρησιμοποιώντας μία γενική πηγαία θύρα TCP. Με αυτόν τον τρόπο οι ερευνητές εντόπισαν πολλούς στόχους του Kobalos, συμπεριλαμβανομένων συστημάτων HPC.
The backdoor
https://csirt.cy/wp-content/uploads/2021/02/Kobalos-300x174.png 300w, https://csirt.cy/wp-content/uploads/2021/02/Kobalos-768x445.png 768w" alt="" width="945" height="547" class="aligncenter wp-image-7607 size-full" style="box-sizing: border-box; border: 0px; vertical-align: middle; clear: both; display: block; margin: 0px auto; height: auto; max-width: 100%; color: rgb(51, 51, 51); font-family: "Helvetica Neue", Helvetica, Arial, sans-serif; font-size: 14px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;" loading="lazy" />
To Kobalos είναι ένα γενικό backdoor υπό την έννοια ότι περιλαμβάνει γενικές εντολές οι οποίες δεν αποκαλύπτουν την πρόθεση των επιτιθέμενων. Το Kobalos επιτρέπει την απομακρυσμένη πρόσβαση στο σύστημα αρχείων, παρέχει την δυνατότητα αναπαραγωγής του terminal, και επιτρέπει συνδέσεις proxy σε διακομιστές που έχουν εκτεθεί στο κακόβουλο λογισμικό.
Υπάρχουν πολλοί τρόποι για τους χειριστές να φτάσουν σε μια μηχανή μολυσμένη με Kobalos. Έχει σχεδιαστεί για να αντικαθιστά τον πελάτη ssh και τον διακομιστή σε έναν κεντρικό υπολογιστή. Μόλις εγκατασταθεί, αντικαθιστά το κανονικό ssh για να επιτρέπει τη συλλογή κωδικών πρόσβασης για πρόσβαση σε απομακρυσμένους κεντρικούς υπολογιστές. Ως υπηρεσία ακρόασης, δημιουργεί ένα backdoor όταν ένας πελάτης συνδέεται με τη συγκεκριμένη θύρα προέλευσης TCP του 55201. Υπάρχουν άλλες αυτόνομες παραλλαγές που δεν είναι ενσωματωμένες στο sshd. Αυτές οι παραλλαγές είτε συνδέονται με έναν διακομιστή C&C που θα λειτουργεί ως μεσάζων.
Κάτι που καθιστά το Kobalos ξεχωριστό είναι το γεγονός ότι ο κώδικας εκτέλεσης του διακομιστή C&C είναι μέσα στο ίδιο το λογισμικό. Οποιοσδήποτε διακομιστής παραβιαστεί από το Kobalos μπορεί να μετατραπεί σε διακομιστή C&C από τους χειριστές με μία εντολή.
Βήματα Μετριασμού
Τα προϊόντα της ESET ανιχνεύουν το κακόβουλο λογισμικό Kobalos ως Linux/Kobalos ή Linux/Agent IV. Ο υποκλοπέας διαπιστευτηρίων SSH ανιχνεύεται ως Linux/SSHDoor.EV, Linux/SSHDoor.FB ή Linux/SSHDoor.FC.
Από την σκοπιά του δικτύου, η ανίχνευση του Kobalos είναι εφικτή κοιτάζοντας για κυκλοφορία μη-SSH στην θύρα που προσδίδεται σε διακομιστή SSH.
Η χρήση two-factor-authentication (2FA) μετριάζει την απειλή του Kobalos, καθώς η χρήση διαπιστευτηρίων που έχουν υποκλαπεί φαίνεται να είναι ένας από τους τρόπους με τους οποίους διασπείρεται σε διάφορα συστήματα.