Różności i nowinki technologia

Komputery o wysokiej wydajności są oblężone przez nowo odkryte tylne drzwi

Futurystyczna serwerownia centrum danych

Wysokowydajne sieci komputerowe, niektóre należące do najbardziej znanych organizacji na świecie, są atakowane przez nowo odkryty backdoor, który daje hakerom możliwość zdalnego wykonywania wybranych poleceń, poinformowali we wtorek naukowcy.

Kobalos, jak nazwali to złośliwe oprogramowanie badacze z firmy bezpieczeństwa Eset, jest backdoorem działającym w systemach Linux, FreeBSD i Solaris, a artefakty kodu sugerują, że mógł on kiedyś działać na platformach AIX i starożytnych Windows 3.11 i Windows 95. Backdoor został wypuszczony na wolność nie później niż w 2019 roku, a stojąca za nim grupa była aktywna przez cały zeszły rok.

Wielostanowiskowe tylne drzwi

Chociaż projekt Kobalos jest złożony, jego funkcjonalności są ograniczone i prawie całkowicie związane z ukrytym dostępem do tylnych drzwi. Po pełnym wdrożeniu złośliwe oprogramowanie zapewnia dostęp do systemu plików zaatakowanego systemu i umożliwia dostęp do zdalnego terminala, który umożliwia atakującym wykonywanie dowolnych poleceń.

W jednym z trybów szkodliwe oprogramowanie działa jako pasywny implant, który otwiera port TCP na zainfekowanej maszynie i czeka na połączenie przychodzące od atakującego. Oddzielny tryb umożliwia złośliwemu oprogramowaniu przekształcanie serwerów w serwery dowodzenia i kontroli, z którymi łączą się inne urządzenia zainfekowane Kobalis.

Zainfekowane maszyny mogą być również używane jako proxy, które łączą się z innymi serwerami, na które włamano Kobalos. Te serwery proxy można łączyć łańcuchami, aby operatorzy mogli używać wielu maszyn, których zabezpieczenia zostały naruszone przez firmę Kobalos, aby osiągnąć swoje ostateczne cele.

Poniższy rysunek przedstawia przegląd funkcji Kobalos:

Eset

Aby zachować dyskrecję, Kobalos szyfruje komunikację z zainfekowanymi maszynami za pomocą dwóch 16-bajtowych kluczy, które są generowane, a następnie szyfrowane za pomocą chronionego hasłem klucza prywatnego RSA-512. Cały ruch przychodzący i wychodzący jest od tego momentu szyfrowany RC4 przy użyciu dwóch kluczy. Złośliwe oprogramowanie wykorzystuje złożony mechanizm zaciemniania, który utrudnia analizę stron trzecich.

Mała liczba elitarnych celów

Wśród osób zainfekowanych złośliwym oprogramowaniem są m.in. uniwersytet, firma zajmująca się bezpieczeństwem punktów końcowych, agencje rządowe i duży dostawca usług internetowych. Jeden z zagrożonych komputerów o wysokiej wydajności miał nie mniej niż 512 gigabajtów pamięci RAM i prawie petabajt pamięci.

Eset powiedział, że liczbę ofiar mierzono w dziesiątkach. Numer pochodzi ze skanowania internetowego, które mierzy zachowanie występujące, gdy nawiązywane jest połączenie z zagrożonym hostem z określonego portu źródłowego. Poniższy obrazek pokazuje, że ofiary znajdowały się w Stanach Zjednoczonych, Europie i Azji:

Eset

Solidność złośliwego oprogramowania w połączeniu z niewielką liczbą widocznych celów pokazuje, że Kobalos to dzieło zaawansowanego zespołu hakerów, szczególnie na mniej uczęszczanej ścieżce złośliwego oprogramowania innego niż Windows.

„Liczne dobrze zaimplementowane funkcje i techniki unikania sieci pokazują, że napastnicy stojący za Kobalos mają znacznie większą wiedzę niż typowy twórca szkodliwego oprogramowania atakującego systemy Linux i inne systemy inne niż Windows” – napisali badacze z Eset Marc-Etienne M.Léveillé i Ignacio Sanmillan w raport. „Ich cele, będąc dość głośne, pokazują również, że celem operatorów Kobalos nie jest narażanie jak największej liczby systemów. Jego niewielki ślad i techniki unikania sieci mogą wyjaśniać, dlaczego nie został wykryty, dopóki nie skontaktowaliśmy się z ofiarami z wynikami naszego skanowania w całym Internecie ”.

Jak dotąd nie jest jasne, w jaki sposób instaluje się Kobalos. Komponent, który kradnie dane uwierzytelniające, których administratorzy używali do logowania się do maszyn przy użyciu protokołu SSH, jest jedną z możliwości, ale jest mało prawdopodobne, że jest to jedyny sposób infekcji. Nie jest również jasne, co dokładnie operatorzy Kobalos robią ze złośliwym oprogramowaniem. Nie było żadnych oznak, że zainfekowane systemy były używane do wydobywania kryptowaluty lub wykonywania innych zadań wymagających dużej mocy obliczeniowej.

„Zamiar autorów tego złośliwego oprogramowania jest nadal nieznany” – napisali. „Nie znaleźliśmy żadnych wskazówek, które wskazywałyby, czy kradną poufne informacje, dążą do zysku finansowego, czy też szukają czegoś innego”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook