ESET ανακαλύπτει το Kobalos που επιτίθεται σε υπερυπολογιστές

Η νέα απειλή πήρε το όνομά της από την ελληνική μυθολογία, καθώς οι Κόβαλοι ήταν πανούργοι, μικροσκοπικοί ακόλουθοι του Διόνυσου.

Οι ερευνητές της ESET ανακάλυψαν το Kobalos, ένα κακόβουλο που επιτίθεται σε υπερυπολογιστές – συστάδες υπολογιστών υψηλής απόδοσης (HPC). Η ESET συνεργάστηκε με την Ομάδα Ασφάλειας Υπολογιστών του CERN και άλλους οργανισμούς που εμπλέκονται στη αντιμετώπιση επιθέσεων στα δίκτυα επιστημονικής έρευνας. Μεταξύ των στόχων ήταν ένας μεγάλος Πάροχος Υπηρεσιών Διαδικτύου (ISP) στην Ασία, ένας προμηθευτής λύσεων security στη Βόρεια Αμερική, καθώς και αρκετοί ιδιωτικοί servers.

Οι ερευνητές της ESET έχουν επεξεργαστεί μέσω ανάστροφης μηχανικής (reverse engineering ) αυτό το μικρό, αλλά περίπλοκο που είναι φορητό σε πολλά λειτουργικά συστήματα, συμπεριλαμβανομένων των Linux, BSD, Solaris και πιθανώς AIX και .

«Ονομάσαμε αυτό το κακόβουλο λογισμικό Kobalos (Κόβαλος) για το μικρό μέγεθος του κώδικα και τις πανούργες μεθόδους που εφαρμόζει. Στην ελληνική μυθολογία, ο Κόβαλος είναι ένα μικρό, πανούργο πλάσμα», εξηγεί ο Marc-Etienne Léveillé, ο οποίος μελέτησε το Kobalos. «Πρέπει να σημειώσουμε ότι αυτό το επίπεδο πολυπλοκότητας σπάνια εμφανίζεται σε κακόβουλο λογισμικό Linux», προσθέτει ο Léveillé.

Το Kobalos είναι ένα backdoor που περιέχει εντολές που δεν αποκαλύπτουν την πρόθεση των εισβολέων. «Εν ολίγοις, το Kobalos παρέχει απομακρυσμένη πρόσβαση στο σύστημα αρχείων, δυνατότητα αναπαραγωγής τερματικών συνεδριών και επιτρέπει συνδέσεις διακομιστή μεσολάβησης σε άλλους servers που έχουν μολυνθεί από το Kobalos», λέει ο Léveillé.

Οποιοσδήποτε server μολυνθεί από το Kobalos μπορεί με μία μόνο εντολή από τους χειριστές να μετατραπεί σε Command & Control (C&C) server. Καθώς οι διευθύνσεις IP και οι θύρες του C&C server είναι ενσωματωμένες στο εκτελέσιμο πρόγραμμα, οι χειριστές μπορούν στη συνέχεια να δημιουργήσουν νέα δείγματα του Kobalos που χρησιμοποιούν αυτόν τον νέο C&C server. Επιπλέον, στα περισσότερα συστήματα που μολύνονται από το Kobalos, ο πελάτης SSH κλέβει τα διαπιστευτήρια.

“Τα διαπιστευτήρια όσων χρησιμοποιούν τον πελάτη SSH σε ένα μολυσμένο μηχάνημα καταγράφονται. Αυτά τα διαπιστευτήρια μπορούν στη συνέχεια να χρησιμοποιηθούν από τους εισβολείς για να εγκαταστήσουν το Kobalos στο νέο server», προσθέτει ο Léveillé. Η δημιουργία ταυτότητας δύο παραγόντων για σύνδεση σε διακομιστές SSH θα μετριάσει την απειλή, καθώς η χρήση κλεμμένων διαπιστευτηρίων φαίνεται να είναι ένας από τους τρόπους με τους οποίους μπορεί να διαδοθεί σε διαφορετικά συστήματα.

Περισσότερες τεχνικές λεπτομέρειες για το Kobalos, μπορείτε να διαβάσετε στο blogpost “Kobalos – A complex Linux threat to high performance computing infrastructure” στο WeLiveSecurity.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).