安全公司 ESET 近日放出了一则警告,提醒一款被挂有木马的 OpenSSH 软件,或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos,安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大,但 Kobalos 后门还是渗透了一些主要目标,包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商(ISP)的系统。
Kobalos 恶意软件功能与访问方式概览(来自:ESET | PDF)
参考希腊神话中一个顽皮的小动物,ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris,安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。
通过逆向工程可知,Kobalos 能够在互联网上扫描受害者。而且在大多数情况下,受害者主要集中在大型系统和超级计算机领域(另有涉及部分私有服务器设施),但目前尚未揪出相关事件的幕后黑手。
受控制的“肉鸡”与远程命令服务器的交互
过去一年,互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿,受害者包括波兰、加拿大等地的受感染服务器。
新闻中还提到过英国的 Archer 超级计算机(其 SSH 证书被盗),但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。
Kobalos 命令与控制服务器的指令码
ESET 研究人员补充道,尽管 Kobalos 的代码库很是精简,但却包含了用于运行命令和远程服务器控制的代码。
为缓解攻击,安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。
通过 TCP 协议传输的 Kobalos 恶意软件数据包
最后,ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos(或 Linux / Agent.IV)。
而用于 SSH 证书窃取的程序,则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。
