“Kobalos”Linux恶意软件瞄准了全球超级计算机

Kobalos主要用作后门，旨在窃取SSH凭据（也称为安全外壳或安全套接字外壳），这是一种加密网络协议，即使在不安全的网络上也可以提供安全的远程登录。

ESET指出，Kobalos是“通用恶意软件”，但是具有高度通用性，并且具有独特的基础结构，尤其是其命令和控制结构。

ESET的高级恶意软件研究员、报告的合著者之一Marc-Etienne M. Léveillé说:“事实是，任何被Kobalos破坏的系统都可能变成其他被破坏主机的C&C服务器，这是非常罕见的。”“运行这种服务器的代码就在恶意软件中。他们还利用其他感染科巴罗斯病毒的宿主来控制后门。”

作为调查的一部分，ESET研究人员与欧洲核子研究组织(CERN)的安全团队合作。

ESET表示，自2019年开始并持续到2020年以来，恶意软件“Kobalos”的开发者已经破坏了属于学术研究人员、私营企业和组织的超级计算机和高性能集群。这些目标包括一家亚洲ISP、一家美国终端安全供应商和几家私人服务器，以及其他受到攻击的组织。

“我们的扫描显示，超过5个但不到10个属于学术界网络的服务器受到了攻击。我们知道其中一些是高性能计算机，但在某些情况下，不清楚这些系统是否是网络的一部分，或者是否高性能计算机本身受到了危害，”Léveillé说。“我们最新的扫描并没有发现新的受害者，然而，这并不意味着他们停止了活动。他们可能只是改变了恶意软件的配置，让我们更难识别。”

报告指出，恶意软件的目标范围很广，包括Linux、BSD和Solaris, Kobalos也可能有能力攻击运行AIX和Windows的超级计算机。

根据ESET的报告，由于恶意软件包含使用单一功能定义的广泛命令集，很难检测到。“分析Kobalos并不像大多数Linux恶意软件那样简单，因为它的所有代码都保存在一个函数中，这个函数递归地调用自己来执行子任务，”报告指出。这使得它的分析更具挑战性。此外，所有字符串都是加密的，所以比起静态地查看样本，更难发现恶意代码。”

虽然还不清楚最初的攻击是如何开始的，但研究人员表示，一旦恶意软件破坏了一台超级计算机或高性能集群，它就会嵌入系统的OpenSSH服务器可执行文件中。从那里，如果科巴洛斯从特定的TCP端口收到命令，后门代码就会激活。

研究人员还发现了“Kobalos”恶意软件的变种，可以充当其他类型的命令和控制连接的“中间人”。恶意代码还会将受感染的服务器变成命令控制服务器。

报告说:“任何被Kobalos破坏的服务器都可以被操作员发送一个命令变成一个命令和控制服务器。”“由于命令和控制服务器的IP地址和端口被硬编码到可执行文件中，操作员可以使用这个新的命令和控制服务器生成新的Kobalos样本。”

根据报告，在大多数被Kobalos破坏的系统中，SSH客户端被修改以窃取凭证，这可能是恶意软件传播的一种方式。Kobalos还将允许远程访问受损超级计算机的文件系统，从而使攻击者能够生成终端会话，并允许代理连接到其他受Kobalos感染的服务器。

2020年5月，英国爱丁堡大学被迫切断了对其名为ARCHER的超级计算机的研究访问，原因是该计算机感染了Linux恶意软件，这是更广泛的加密僵尸网络运动的一部分。事件发生后，加拿大、中国、美国和欧洲部分地区的受害者报告称，他们的高性能计算实验室受到了恶意软件的影响(见:超级计算机入侵追踪到加密货币矿工)。

同月，负责协调欧洲各地超级计算机研究的欧洲电网基础设施安全团队表示，其成员目睹了类似的攻击。ESET报告指出，Kobalos攻击早于这些涉及密码器的其他事件，由于Linux恶意软件的功能不同，这些恶意活动很可能没有连接。