Spilliforrit fannst af ESET og lýst er í blogginu fyrirtæki á þriðjudag, tengist árásum á ofurtölvur sem notaðar eru af stórum asískum netþjónustuveitanda (ISP), bandarískri endapunktaöryggisveitu og fjölda einkanetþjóna, meðal annarra skotmarka.
Netöryggisteymið nefndi spilliforritið Kobalos eftir kobalos, lítilli veru í grískri goðafræði sem þykir einstaklega illgjarn.
Kobalos er óvenjulegt af ýmsum ástæðum. Kóðagrunnur spilliforritsins er lítill, en nógu háþróaður til að hafa áhrif á að minnsta kosti Linux, BSD og Solaris stýrikerfi. ESET grunar að það gæti verið samhæft við árásir á AIX vélar og Microsoft Windows.
Í samstarfi við CERN tölvuöryggishópinn áttaði ESET sig á því að „einstakt þvert á vettvang“ spilliforrit var að miða á afkastamikil tölvuklasa (HPC). Í sumum tilfellum sýkingar kemur í ljós að spilliforrit „þriðju aðila“ stöðva tengingar við SSH netþjóninn til að stela skilríkjum, sem síðan eru notuð til að fá aðgang að HPC þyrpingum og Kobalos dreifingum.
Kobalos kóðagrunnurinn er lítill, en áhrif hans eru alls ekki.
Kobalos er í rauninni bakdyr. Þegar spilliforritið lendir á ofurtölvunni, grafast kóðinn inn í OpenSSH netþjóninn og ræsir bakdyr ef hringt er í gegnum tiltekna TCP úttaksport. Aðrir valkostir virka sem miðlarar fyrir hefðbundnar tengingar við stjórn- og stjórnunarþjóninn (C2).
Kobalos veitir rekstraraðilum sínum fjaraðgang að skráarkerfum, gerir þeim kleift að keyra flugstöðvarlotur og virkar sem tengipunktar við aðra netþjóna sem eru sýktir af spilliforritum. ESET heldur því fram að sérstakur eiginleiki Kobalos sé geta þess til að breyta hvaða netþjóni sem er í hættu í C2 með einni skipun.
„Okkur tókst ekki að ákvarða fyrirætlanir Kobalos rekstraraðila,“ sagði ESET. „Ekkert annað spilliforrit, annað en að stela SSH skilríkjum, fannst af stjórnendum á vélunum sem voru í hættu. Við vonum að upplýsingarnar sem við birtum í dag í nýju útgáfunni okkar muni hjálpa til við að vekja athygli á þessari ógn og sýna virkni hennar.“
Lestu líka: