Malý kód a množství triků, útok na řadu sítí pro vědecký výzkum včetně CERNu.
Analytici společnosti ESET objevili malware Kobalos, který útočí na superpočítače, nebo přesněji vysoce výkonné počítačové klastry (HPC – high performance computer). Na zmírňování útoků proti sítím určeným převážně pro vědecký výzkum spolupracoval i bezpečnostní tým Evropské organizace pro jaderný výzkum (CERN).
Obětí tohoto škodlivého kódu byl i velký asijský poskytovatel internetového připojení, severoamerický výrobce bezpečnostního softwaru a také několik soukromě vlastněných serverů. Skutečný úmysl útočníků se zatím odhalit nepodařilo. Rovněž není známo, jak dlouho se tento škodlivý kód šíří.
Reverzní analýza tohoto malého, ale složitého malwaru ukázala, že je přenositelný do mnoha operačních systémů včetně Linuxu, BSD a Solarisu. Zjištění naznačují, že by mohl běžet i na Aix a Windows.
„Tento malware jsme pojmenovali Kobalos pro jeho malou velikost kódu a množství triků. V řecké mytologii je kobalos malé a zlomyslné stvoření,“ vysvětluje Marc-Étienne Léveillé, výzkumník společnosti ESET, který škodlivý kód Kobalos zkoumal. „Je třeba zdůraznit, že taková úroveň propracovanosti se v Linuxovém malwaru vyskytuje pouze zřídka,“ říká.
Kobalos je backdoor obsahující různé příkazy, které neodhalují skutečný úmysl útočníků. Poskytuje vzdálený přístup k souborovému systému, umožňuje vytvářet terminálové relace a poskytuje proxy připojení k dalším serverům infikovaným tímto malwarem.
Jakýkoli server napadený Kobalem může být jediným vzdáleným příkazem operátora proměněný na řídící C&C server. Protože IP adresy a porty řídícího serveru jsou pevně zadané do spustitelného souboru, mohou operátoři vygenerovat nové vzorky Kobalos, které se pak z dalších infikovaných zařízení připojují k tomuto novému C&C serveru a poslouchají jeho příkazy. Ve většině systémů kompromitovaných Kobalem je navíc SSH klient – program zodpovědný za zajištění zabezpečené komunikace – infikovaný tak, aby kradl přihlašovací údaje.