吳明宜Kobalos 後門惡意程式可跨 Linux、Solaris 與Windows 瞄準攻擊高效能運算叢集
安全廠商 ESET 本周公佈,一個之前未見的惡意程式正在對全球高效能運算叢集發動攻擊。
由於這惡意程式體積很小(x86-64 平台樣本僅 25Kb),又十分狡詐,ESET 於是以希望神話中的小惡魔 Kobalos 為之命名。Kobalos 第一個受害者出現於 2019 年,而 2020 年一整年也十分活躍。不過它卻包含非常久遠的 Windows 相關字串,像是 Windows 3.11 和 Windows 95。
雖然安全公司的分析著重在 Linux 版本,但研究人員表示 Kobalos 也可跑在 FreeBSD、Solaris 或 Windows、AIX 系統上,是相當獨特的多平台惡意程式,它專門瞄準高效能運算叢集,這是之前沒聽說過的。它會刼持 SSH 伺服器連線以竊取存取 HPC 叢集的登入憑證,並在伺服器上部署 Kobalos,研究人員認為會竊取憑證也有助於 Kobalos 的擴散。
除了超級電腦,Kobalos 受害者還包括北美的安全方案供應商、政府單位或個人伺服器、歐洲的大學、HPC 設施、行銷公司、代管業者,以及亞洲一家大型 ISP。
Kobalos 本質上是一個後門程式。在惡意程式進駐超級電腦後,就會藏在 OpenSSH 伺服器執行檔中,會被針對特定 TCP 傳輸埠的呼叫驅動。Kobalos 可讓背後攻擊者遠端存取檔案伺服器,使其建立終端連線上,也能作為連接點連向其他感染 Kobalos 的伺服器。
ESET 表示,Kobalos 很特殊的一點是能以單一指令,把任何受駭伺服器變成一台 C&C (command and control) 伺服器,因為 C&C 伺服器 IP 和傳輸埠都是寫在執行檔內,駭客可以產生使用新 Kobalos 樣本來擔任 C&C 伺服器。
但是 Kobalos 字串都被加密,使其難以逆向工程解析。研究人員表示這有待進一步研究。
ESET 還沒有能判斷出 Kobalos 背後的組織目的為何,因為它只抓到惡意程式本身,未能找到攻擊產生的網路流量。研究人員尚未看到它對駭入的超級電腦採礦,或是和之前事件有什麼連結。