Исследователи ESET раскрыли подробную информацию о новом вирусе, названном в честь духа греческой мифологии Кобалоса. После тщательного анализа и поиска данных ESET заявила, что Kobalos поражает высокопроизводительные компьютеры (HPC) в академических и исследовательских сетях.
Кроме того, эта вредоносная программа нацелена на веб-серверы с высокофункциональными кластерами и большим количеством зашифрованной информации. Вредоносный код предоставляет удаленный доступ к системе, а также создает терминальные сеансы с другими зараженными Kobalos серверами.
По данным группы компьютерной безопасности ЦЕРН, вредоносное ПО и методы, которые оно применяет в этих атаках, отличаются от всех известных вирусов. Основная угроза безопасности — неспособность большинства администраторов обнаружить и удалить вредоносное ПО из-за запутанного кода. Однако после тщательного анализа Kobalos эксперты по кибербезопасности обнаружили, что можно определить, атакована ли система Kobalos, подключившись к SSH-серверу с использованием определенного исходного порта TCP.
Украденные учетные данные
Файл /usr/bin/ssh заменяется модифицированным исполняемым файлом, который собирает имена пользователей, пароли и целевые имена хостов, а затем записывает эти данные в зашифрованный файл. Позже хакеры используют украденные учетные данные для установки Kobalos на целевые серверы. Чтобы избежать взлома, администраторам необходимо установить многофакторную аутентификацию (MFA) для доступа к SSH-серверам.
Алгоритм Кобалоса
Kobalos имеет встроенный код для запуска и настройки C&C-сервера. Вирус представляет собой полуобобщенный бэкдор. Он использует специальные методы, чтобы не раскрыть хакеров или их намерения. Kobalos предоставляет удаленный доступ к системе, позволяя злоумышленникам создавать терминальные сеансы. Вредоносная программа также может устанавливать соединения через прокси-серверы со всеми зараженными серверами.
Способы подключения
Kobalos интегрирован в исполняемый файл сервера OpenSSH и запускает вредоносный код, если соединение поступает с определенного TCP-порта. Но он имеет и может применять другие варианты подключения, не задействующие встроенный код sshd. Наиболее распространенные тактики, используемые Кобалосом, следующие:
При заражении Kobalos любой сервер может служить сервером управления и одновременно хранилищем данных. Даже если IP-адреса и прокси-серверы изначально жестко закодированы и зашифрованы, операторы Kobalos могут создавать и генерировать новые C&C-серверы, использующие данные недавно зараженных компьютеров.
Сложная техника кражи учетных данных
Как заявили эксперты ESET, учетные данные любого, кто использует SSH-клиент на взломанной машине, будут украдены. Этот метод кражи личных данных отличается от любых других вредоносных клиентов OpenSSH. Хакеры постепенно получают полную базу данных всех зарегистрированных людей.
Сложность этого метода заключается в невозможности отслеживать IP-адреса и серверы, с которых происходят атаки. Нет ничего похожего на более ранние способы кражи учетных данных. Например, строки остаются незашифрованными, а украденные имена пользователей и пароли просто записываются в файл на диске.
Kobalos написан для Linux, но его слегка модифицированная версия может заразить и системы Mac. Большая часть его кода создается с использованием однофункционального алгоритма кодирования, поэтому вирус может выполнять подзадачи и создавать взаимосвязанную среду цепного кода. Кроме того, все строки и ссылки зашифрованы, что усложняет лечение и удаление.
Для использования бэкдора требуется частный 512-битный ключ RSA и пароль длиной 32 байта. После аутентификации происходит обмен ключами RC4, а остальная часть связи шифруется с помощью алгоритма гибкой цепочки. Кроме того, он запускает соединения в хаотичном порядке.
Как обнаружить вредоносное ПО?
На сетевом уровне вредоносную программу Kobalos можно идентифицировать путем разделения не-SSH-трафика на порту, назначенном SSH-серверу. Всякий раз, когда этот вирус общается с оператором, обмена SSH-баннерами не происходит ни с сервера, ни с клиента.
Опять же, настоятельно рекомендуется использовать многофакторную аутентификацию для подключения к SSH-серверам. MFA помогает снизить угрозу, поскольку в большинстве случаев это вредоносное ПО использует украденные учетные данные для распространения на новые серверы и системы.
Последние мысли
Намерения операторов Кобалоса до сих пор остаются загадкой. Никаких других штаммов вируса, за исключением похитителя личных данных SSH, системные администраторы на зараженных машинах не обнаружили. Протокол, который использует Кобалос, тесно заключен в единый функционирующий код. Этот вирус действительно представляет собой угрозу, которую трудно обнаружить и уничтожить.
Высокопроизводительные компьютеры или просто суперкомпьютеры должны быть тщательно защищены. Новые исследования выявляют все больше и больше угроз, которые могут вызвать серьезные проблемы. Будем надеяться, что исследователи создадут правильную защиту от кобалос. Все ваши знания и комментарии по теме приветствуются. Защитите свои данные с помощью постоянных обновлений программного обеспечения и использования многофакторной аутентификации.
