Gli esperti di ESET hanno analizzato un nuovo malware, denominato Kobalos, utilizzato negli attacchi contro i cluster di elaborazione ad alte prestazioni (HPC).
Questo piccolo malware (per dimensione del codice) ma complesso, è portabile su molti sistemi operativi tra cui Linux, BSD, Solaris e possibilmente AIX e Windows.
“Kobalos è una backdoor generica nel senso che contiene comandi ampi che non rivelano l’intento degli aggressori. In breve, Kobalos garantisce l’accesso remoto al file system, offre la possibilità di generare sessioni di terminale e consente connessioni proxy ad altri server infetti da Kobalos”, si legge nell’analisi pubblicata da ESET.
Il metodo per raggiungere una macchina infetta da Kobalos è incorporato nell’eseguibile del server OpenSSH (sshd) che attiverà il codice backdoor se la connessione proviene da una specifica porta TCP sorgente. Esistono altre varianti autonome che non sono incorporate in sshd che si connettono a un server C&C che fungerà da intermediario o attendono una connessione in entrata su una determinata porta TCP.
Ciò che rende Kobalos unico è il fatto che il codice per eseguire un server C&C si trova nello stesso Kobalos. Qualsiasi server compromesso da Kobalos può essere trasformato in un server C&C dagli operatori inviando un singolo comando e, poiché gli indirizzi IP e le porte del server C&C sono codificati nell’eseguibile, gli operatori possono quindi generare nuovi campioni Kobalos che utilizzano questo nuovo server C&C.
Nella maggior parte dei sistemi compromessi da Kobalos, il client SSH viene compromesso per rubare le credenziali.
