国际数据安全公司ESET已报告了针对超级计算群集的名为Kobalos的恶意软件的识别。
国外媒体报道,英国技术行业出版物PCR今天发表了一个故事,指出国际数据安全公司ESET已报告了针对超级计算群集的名为Kobalos的恶意软件的识别。他们还表示,他们一直在与欧洲核子研究组织(CERN),欧洲核研究组织和其他组织的安全专家合作,共同阻止发动袭击。
PCR报道说:“其他目标还包括一家大型亚洲ISP,一家北美端点安全厂商以及几台私有服务器。”
ESET今天发布了一份新闻声明和一份白皮书,提供了有关该恶意软件的详细发现。该公司表示,工作人员对该公司所说的“小型但复杂的恶意软件进行了反向工程”,该恶意软件可移植到许多操作系统(包括Linux,BSD,Solaris以及可能的AIX和Windows)中。
ESET高级恶意软件研究员Marc-EtienneLéveillé告诉PCR,该恶意软件已被命名为Kobalos,“因为它的代码量很小且有很多技巧;在希腊神话中,kobalos是个顽皮的小动物。必须说,这种复杂程度在Linux恶意软件中很少见。”
“简而言之,Kobalos授予对文件系统的远程访问权限,提供了生成终端会话的功能,并允许代理到其他感染Kobalos的服务器的连接,”Léveillé说。
PCR报告说,在Kobalos成功穿透服务器后,操作员可以通过发送单个命令将硬件转变为命令和控制服务器。“由于C&C服务器的IP地址和端口被硬编码到可执行文件中,因此操作员可以生成使用此新C&C服务器的新Kobalos示例。另外,在大多数受Kobalos攻击的系统中,用于安全通信(SSH)的客户端也遭到了窃取凭据的攻击。”
Léveillé对PCR表示:“使用受感染机器的SSH客户端的任何人都将捕获其凭据。” “攻击者随后可以使用这些凭据在新发现的服务器上安装Kobalos。”
为了减少Kobalos威胁,ESET建议对连接到SSH服务器的用户实施两因素身份验证,因为“凭据被盗似乎是它能够传播到不同系统的一种方式。”
ESET在今天(2月2日)发布的一份声明中说:“也许与涉及Kobalos的事件无关,在过去的一年中,发生了涉及HPC群集的多起安全事件。他们中的一些人受到了媒体的关注,并在欧洲网格基础设施(EGI)CSIRT的咨询中公开了有关部署加密货币矿工的案例的详细信息。EGI CSIRT咨询显示,这些攻击使用了波兰,加拿大和中国的受感染服务器。新闻报道还提到Archer,这是一台在英国遭到破坏的超级计算机,其中SSH凭证被盗,但没有包含使用哪种恶意软件的详细信息。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
