Nový škodlivý kód Kobalos útočí na superpočítače – vysoko výkonné počítačové klastre (HPC – high performance computer). Objavili ho výskumníci zo slovenskej bezpečnostnej spoločnosti ESET.
Obeťami tohto škodlivého kódu sa už stali viaceré veľké spoločnosti. Napríklad ázijský poskytovateľ internetu, severoamerický výrobca bezpečnostného softvéru a aj niekoľko súkromných serverov. Skutočný úmysel útočníkov sa zatiaľ odhaliť nepodarilo a zatiaľ nie je známe, ako sa tento škodlivý kód šíri.
Tento zložitý malvér je prenosný do mnohých operačných systémov, vrátane Linuxu, BSD a Solarisu. Bežať by mohol na AIXe a dokonca aj na Windowse.
„Tento malvér sme pomenovali Kobalos pre jeho malú veľkosť kódu a množstvo jeho trikov. V gréckej mytológii je kobalos malé a zlomyseľné stvorenie,“ vysvetľuje Marc-Etienne Léveillé, výskumník spoločnosti ESET, ktorý škodlivý kód Kobalos skúmal. „Je potrebné zdôrazniť, že takáto úroveň prepracovanosti sa v Linuxovom malvéri vyskytuje iba zriedka,“ hovorí Léveillé.
Server, ktorý bol napadnutý Kobalosom, môže byť vzdialeným príkazom operátora kódu zmenený na riadiaci a kontrolný server. Operátori môžu vygenerovať nové vzorky Kobalosu, ktoré sa potom z ďalších infikovaných zariadení pripájajú k tomuto novému C&C serveru a počúvajú jeho príkazy.
„Ktokoľvek, kto na napadnutom zariadení používa SSH klienta, bude mať svoje prihlasovacie údaje odchytené. Tieto údaje môžu potom útočníci použiť na neskoršiu inštaláciu Kobalosu do novoobjaveného servera,“ dodáva Léveillé.
Hrozbu môže zmierniť pridanie viacfaktorovej autentifikácie do pripájania k SSH serveru. Vyzerá to tak, že použitie ukradnutých prístupových údajov je jedným zo spôsobov, ako sa Kobalos šíri do rozličných systémov.