Af Eskil Sørensen, 03/02/21
Højtydende computernetværk, de såkaldte HPC-anlæg, der bl.a. anvendes i universitetsverdenen, er under angreb vha. af en nyopdaget bagdør. Det skriver Arstechnica på baggrund af oplysninger fra sikkerhedsfirmaet Eset.
Malwaren har fået navnet Kobalos og er en bagdør, der kører på Linux, FreeBSD og Solaris. Bagdøren har været kendt siden 2019. Ifølge Arstechnica har gruppen bag malwaren været aktiv i hele 2020.
Funktionaliteterne i Kobalos skulle være begrænsede til næsten udelukkende at være relateret til en skjult bagdør. Når den er implementeret fuldt ud, giver malwaren til gengæld adgang til filsystemet i det kompromitterede system, ligesom den giver adgang til en fjernterminal, hvorfra angriberne kan køre vilkårlige kommandoer.
Passiv implantat
Malwaren fungerer efter det oplyste som et ’passivt implantat’, der åbner en TCP-port på en inficeret maskine og venter på en indgående forbindelse fra en angriber. Desuden giver malwaren mulighed for at konvertere servere til Command-and-control-servere, som andre Kobalos-inficerede enheder opretter forbindelse til. Inficerede maskiner kan også bruges som proxyer, der opretter forbindelse til andre servere, der er kompromitteret med Kobalos.
Et universitet inficeret
Det fremgår, at der blandt de inficerede er et universitet, et end-point sikkerhedsfirma, offentlige agenturer og en stor internetudbyder, men antallet af ofre skulle være under 100. Ifølge Bleeping Computer har nogle af de kompromitterede systemer kørt på ”..gamle, ikke-supporterede eller upatchede styresystemer og software”, hvorfor udnyttelse af kendte sårbarheder har været oplagt et oplagt scenarie i forbindelse med inficeringen.