吳明宜Kobalos後門惡意程式可跨Linux、Solaris與Windows 瞄準攻擊高效能運算叢集
安全廠商ESET本周公佈,一個之前未見的惡意程式正在對全球高效能運算叢集發動攻擊。
由於這惡意程式體積很小(x86-64平台樣本僅25Kb),又十分狡詐,ESET於是以希望神話中的小惡魔Kobalos為之命名。Kobalos第一個受害者出現於2019年,而2020年一整年也十分活躍。不過它卻包含非常久遠的Windows 相關字串,像是Windows 3.11和Windows 95。
雖然安全公司的分析著重在Linux版本,但研究人員表示Kobalos也可跑在FreeBSD、Solaris或Windows、AIX系統上,是相當獨特的多平台惡意程式,它專門瞄準高效能運算叢集,這是之前沒聽說過的。它會刼持SSH伺服器連線以竊取存取HPC叢集的登入憑證,並在伺服器上部署Kobalos,研究人員認為會竊取憑證也有助於Kobalos的擴散。
除了超級電腦,Kobalos受害者還包括北美的安全方案供應商、政府單位或個人伺服器、歐洲的大學、HPC設施、行銷公司、代管業者,以及亞洲一家大型ISP。
Kobalos本質上是一個後門程式。在惡意程式進駐超級電腦後,就會藏在OpenSSH伺服器執行檔中,會被針對特定TCP傳輸埠的呼叫驅動。Kobalos可讓背後攻擊者遠端存取檔案伺服器,使其建立終端連線上,也能作為連接點連向其他感染Kobalos的伺服器。
ESET表示,Kobalos很特殊的一點是能以單一指令,把任何受駭伺服器變成一台C&C (command and control)伺服器,因為C&C伺服器IP和傳輸埠都是寫在執行檔內,駭客可以產生使用新Kobalos樣本來擔任C&C伺服器。
但是Kobalos字串都被加密,使其難以逆向工程解析。研究人員表示這有待進一步研究。
ESET還沒有能判斷出Kobalos背後的組織目的為何,因為它只抓到惡意程式本身,未能找到攻擊產生的網路流量。研究人員尚未看到它對駭入的超級電腦採礦,或是和之前事件有什麼連結。