Các cụm máy tính hiệu suất cao thuộc các mạng của trường đại học cũng như các máy chủ liên kết với các cơ quan chính phủ, nhà cung cấp bảo mật điểm cuối và nhà cung cấp dịch vụ internet đã bị nhắm mục tiêu bởi một cửa hậu mới được phát hiện cho phép kẻ tấn công thực hiện các lệnh tùy ý trên hệ thống từ xa.
Công ty an ninh mạng ESET đặt tên cho phần mềm độc hại này là “Kobalos“- một cái gật đầu với”sinh vật tinh quái“cùng tên trong thần thoại Hy Lạp – vì” kích thước mã nhỏ và nhiều thủ thuật. “
Các nhà nghiên cứu Marc-Etienne M. Léveillé và Ignacio Sanmillan cho rằng: “Kobalos là một cửa hậu chung theo nghĩa là nó chứa các lệnh rộng rãi mà không tiết lộ ý định của những kẻ tấn công. nói trong một phân tích thứ ba. “Nói tóm lại, Kobalos cấp quyền truy cập từ xa vào hệ thống tệp, cung cấp khả năng tạo ra các phiên đầu cuối và cho phép kết nối ủy quyền đến các máy chủ bị nhiễm Kobalos khác.”
Bên cạnh việc truy tìm phần mềm độc hại quay trở lại các cuộc tấn công chống lại một số mục tiêu cấu hình cao, ESET cho biết phần mềm độc hại này có khả năng nhắm vào Linux, FreeBSD, Solaris và có thể cả các máy AIX và Windows, với các tham chiếu mã gợi ý về Windows 3.11 và Windows 95 kế thừa các hệ điều hành.
Nhiễm trùng Kobalos được cho là bắt đầu vào cuối năm 2019 và kể từ đó tiếp tục hoạt động trong suốt năm 2020.
Vectơ thỏa hiệp ban đầu được sử dụng để triển khai phần mềm độc hại và mục tiêu cuối cùng của tác nhân đe dọa vẫn chưa rõ ràng, nhưng sự hiện diện của một ứng dụng OpenSSH bị trojanized trong một trong các hệ thống bị xâm nhập ám chỉ khả năng “ăn cắp thông tin xác thực có thể là một trong những cách Kobalos tuyên truyền. “
Không có phần mềm độc hại nào khác được tìm thấy trên hệ thống, cũng như không có bất kỳ bằng chứng nào có thể tiết lộ ý định của những kẻ tấn công.
Các nhà nghiên cứu cho biết: “Chúng tôi không tìm thấy bất kỳ manh mối nào cho thấy liệu chúng ăn cắp thông tin bí mật, theo đuổi lợi ích tiền tệ hay đang theo đuổi một thứ gì khác”.
Nhưng những gì họ đã khám phá cho thấy phần mềm độc hại đa nền tảng ẩn chứa một số kỹ thuật bất thường, bao gồm các tính năng có thể biến bất kỳ máy chủ nào bị xâm phạm thành máy chủ chỉ huy và kiểm soát (C&C) cho các máy chủ khác bị Kobalos xâm phạm.
Nói cách khác, các máy bị nhiễm có thể được sử dụng làm proxy kết nối với các máy chủ bị xâm nhập khác, sau đó có thể được các nhà khai thác sử dụng để tạo các mẫu Kobalos mới sử dụng máy chủ C&C mới này để tạo một chuỗi proxy bao gồm nhiều máy chủ bị nhiễm để truy cập các mục tiêu.
Để duy trì tính năng ẩn, Kobalos xác thực kết nối với các máy bị nhiễm bằng mật khẩu 32 byte được tạo và sau đó được mã hóa bằng khóa riêng RSA 512 bit. Sau đó, một tập hợp các khóa RC4 được sử dụng – mỗi khóa một cho lưu lượng vào và lưu lượng ra – để liên lạc với máy chủ C&C.
Cửa hậu cũng tận dụng một cơ chế gây nhiễu phức tạp để cản trở phân tích pháp y bằng cách gọi đệ quy mã để thực hiện một loạt các nhiệm vụ con.
Các nhà nghiên cứu cho biết: “Nhiều tính năng được triển khai tốt và các kỹ thuật trốn tránh mạng cho thấy những kẻ tấn công đằng sau Kobalos am hiểu hơn nhiều so với tác giả phần mềm độc hại điển hình nhắm vào Linux và các hệ thống không phải Windows khác”.
“Các mục tiêu của họ, khá nổi tiếng, cũng cho thấy mục tiêu của các nhà khai thác Kobalos không phải là xâm nhập càng nhiều hệ thống càng tốt. Dấu chân nhỏ và kỹ thuật trốn mạng của nó có thể giải thích tại sao nó không bị phát hiện cho đến khi chúng tôi tiếp cận nạn nhân với kết quả quét toàn bộ Internet của chúng tôi. “
