Kobalos後門惡意程式可跨Linux、Solaris與Windows 瞄準攻擊高效能運算叢集

安全廠商ESET本周公佈,一個之前未見的惡意程式正在對全球高效能運算叢集發動攻擊。

安全廠商ESET本周公佈,一個之前未見的惡意程式正在對全球高效能運算叢集發動攻擊。

由於這惡意程式體積很小(x86-64平台樣本僅25Kb),又十分狡詐,ESET於是以希望神話中的小惡魔Kobalos為之命名。Kobalos第一個受害者出現於2019年,而2020年一整年也十分活躍。不過它卻包含非常久遠的Windows 相關字串,像是Windows 3.11和Windows 95。

雖然安全公司的分析著重在Linux版本,但研究人員表示Kobalos也可跑在FreeBSD、Solaris或Windows、AIX系統上,是相當獨特的多平台惡意程式,它專門瞄準高效能運算叢集,這是之前沒聽說過的。它會刼持SSH伺服器連線以竊取存取HPC叢集的登入憑證,並在伺服器上部署Kobalos,研究人員認為會竊取憑證也有助於Kobalos的擴散。

除了超級電腦,Kobalos受害者還包括北美的安全方案供應商、政府單位或個人伺服器、歐洲的大學、HPC設施、行銷公司、代管業者,以及亞洲一家大型ISP。

Kobalos本質上是一個後門程式。在惡意程式進駐超級電腦後,就會藏在OpenSSH伺服器執行檔中,會被針對特定TCP傳輸埠的呼叫驅動。Kobalos可讓背後攻擊者遠端存取檔案伺服器,使其建立終端連線上,也能作為連接點連向其他感染Kobalos的伺服器。

ESET表示,Kobalos很特殊的一點是能以單一指令,把任何受駭伺服器變成一台C&C (command and control)伺服器,因為C&C伺服器IP和傳輸埠都是寫在執行檔內,駭客可以產生使用新Kobalos樣本來擔任C&C伺服器。

但是Kobalos字串都被加密,使其難以逆向工程解析。研究人員表示這有待進一步研究。

ESET還沒有能判斷出Kobalos背後的組織目的為何,因為它只抓到惡意程式本身,未能找到攻擊產生的網路流量。研究人員尚未看到它對駭入的超級電腦採礦,或是和之前事件有什麼連結。

來源:SecurityWeekZDNet

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416