Суперкомпьютеры по всему миру атакует новый вирус
ESET заявляет, что не смогла определить цели операторов Kobalos, поскольку не смогла захватить сетевой трафик вредоносного ПО в действии. Известно, что вредоносная программа крадет учетные данные для распространения, и скомпрометированная машина дает злоумышленникам возможность читать и записывать любые файлы в файловой системе, но не майнит криптовалюту и не выполняет другие вычислительно тяжелые задачи на зараженных машинах.
"Мы не нашли никаких подсказок, указывающих, крадут ли они конфиденциальную информацию, преследуют ли они денежную выгоду или преследуют что-то еще", - поясняет компания в документе, в котором подробно описывается вредоносное ПО.
Компания заявляет, что обнаружила скомпрометированные университетские сети, кластеры HPC и хостинг-провайдеров в Европе, а также других жертв в США и Азии, но не раскрыла масштаб проблемы. Тем не менее, в нем говорилось, что "очень ограниченное число" жертв предполагает строго целевую кампанию, учитывая изощренность вредоносного ПО.
"Целями ... обычно являются высокопроизводительные компьютеры и серверы, которые являются частью академических и исследовательских сетей. Один из HPC имеет не менее 512 ГБ оперативной памяти и почти петабайт памяти", - говорится в статье компании. "Непонятно, почему сообщество HPC чрезмерно представлено среди жертв этих атак. Центры высокопроизводительных вычислений, очевидно, являются интересными целями, но обычно менее доступны, чем другие академические серверы".
В греческой мифологии Кобалос - маленькое озорное существо. Eset выбрала это название для нового вредоносного ПО, учитывая его "размер кода и множество уловок". Образцы вредоносного кода x86-64 имеют размер всего 25 КБ.
"То, что Kobalos тесно связан с одной функцией, и использование существующего открытого порта для доступа к Kobalos затрудняет обнаружение этой угрозы", - сказано в сообщении блога, в котором подробно описывается вредоносное ПО. "Такой уровень сложности редко встречается в вредоносных программах для Linux. Учитывая, что он более продвинутый, и что он скомпрометировал довольно крупные организации, Kobalos может некоторое время быть угрозой".
Kobalos предоставляет удаленный доступ к файловой системе, предоставляет злоумышленникам возможность запускать терминальные сеансы и позволяет проксировать соединения с другими серверами, зараженными Kobalos. У операторов есть несколько методов доступа к зараженной Kobalos машине, но наиболее распространенным из них было встраивание в исполняемый файл сервера OpenSSH (sshd).
В прошлом году был взломан ряд суперкомпьютеров, в том числе система Archer Эдинбургского университета, по всей видимости, с целью использования своих вычислительных мощностей для майнинга криптовалют. Но Eset, группа компьютерной безопасности CERN и другие организации, участвующие в противодействии атакам на научно-исследовательские сети, говорят, что вредоносная программа Kobalos предшествует этим другим инцидентам и в настоящее время не имеет связи с использованием вредоносных программ для криптовалют.
Кобалос нацелен не только на высокопроизводительные вычисления. Eset сообщает, что среди других жертв - крупный азиатский интернет-провайдер, североамериканский поставщик систем безопасности конечных точек, а также некоторые личные серверы.
Напомним, ранее сообщалось, что всемирную кибератаку случайно приостановил программист.
Комментарии (0) |