这款Linux 恶意软件正在劫持全球的超级计算机

本周二，ESET 公司逆向这款恶意软件并在博客中指出，亚洲一家大型的互联网服务提供商 (ISP)、美国一家端点安全供应商和大量非公开服务器所使用的超级计算机成攻击目标。

ESET 公司的研究员将该恶意软件称为“Kobalos”，源自希腊神话中喜欢恶作剧的小精灵kobalos。

Kobalos 不同寻常，原因很多。它的代码库虽小但极为复杂，足以影响至少 Linux、BSD和 Solaris 操作系统。ESET 公司认为很可能也适用于针对 AIX 和 微软 Windows 机器的攻击活动。ESET 公司的研究员 Marc-Etienne Léveillé 认为，“不得不说这种复杂性在 Linux 恶意软件中极少看到。“

在和 CERN 计算机安全团队一起分析时，ESET 公司认为“这个独特的、多平台“恶意软件正在攻击高性能计算机 (HPC) 机群。在一些感染案例中，这款 ‘伙伴’恶意软件劫持 SSH 服务器连接，窃取被用于访问 HPC 机群和部署 Kobalos。  

该团队指出，”这种凭据窃取器的出现可能部分回答了 Kobalos 如何传播的情况。“

Kobalos 实际上是一款后门。一旦恶意软件登录到超级计算机上后，代码就会将自己埋在 OpenSSH 服务器可执行文件中，通过一个特定的 TCP 源端口进行调用时触发该后门。

其它变体用作传统 C2 服务器连接的中间人。

Kolabos 可导致其操纵人员远程访问文件系统，使其引发终端会话，并用作受该恶意软件感染的其它服务器的连接点。

ESET 公司表示，Kobalos 的独特性在于其可将任意受陷服务器通过一个单一命令变成 C2 的能力，“由于 C2 服务器 IP 地址和端口被硬编码到可执行文件中，操纵者能够生成使用这个新 C2 服务器的新型 Kobalos 样本。“

研究人员指出，这款恶意软件难以分析，因为它的所有代码都位于“回归调用自身以执行子任务的单一函数中“，并表示所有的字符串都被加密，作为逆向工程的又一个障碍。截止目前，需要进一步研究该恶意软件机器幕后黑手。

ESET 公司指出，“我们无法判断 Kobalos 操纵者的意图何在。除了 SSH 凭据窃取器外，受陷机器的系统管理员均未找到其它恶意软件。希望我们今天披露的这些详情能够提高人们对这类威胁的意识并仔细审查其活动。“

ESET 公司发布的分析见：

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/