ADPT

พบมัลแวร์ใหม่บน Linux มุ่งฝังตัวในระบบ Supercomputer

ESET ได้รายงานพบมัลแวร์ใหม่บน Linux ซึ่งพุ่งเป้าไปยังเครื่อง Supercomputer เป็นส่วนใหญ่ และมีพฤติกรรมที่ซับซ้อน ด้วยโค้ดขนาดเล็ก

credit : ESET , Bleepingcomputer

Kobalos เป็นมัลแวร์ที่เน้นโจมตีระบบปฏิบัติการ Unix อย่าง FreeBSD และ Solaris ซึ่งบาง Variant มีการค้นพบว่าใช้บน AIX และ Windows ได้ด้วย โดยเมื่อ ESET ได้จัดทำ Fingerprint เพื่อสแกนหาการมีอยู่ของมัลแวร์ในโลกอินเทอร์เน็ตก็พบว่าเหยื่อมักเป็นพวกระบบประมวลผลขนาดใหญ่ทั้ง Supercomputer หรือเครื่องเซิร์ฟเวอร์ที่ใช้ในงานวิจัย การศึกษา หรือแม้กระทั่ง ISP รายใหญ่ในเอเซีย บริษัทให้บริการ Hosting และอื่นๆ โดยผู้เชี่ยวชาญยังไม่สรุปวิธีการเข้าถึงเครื่องเหยื่อแต่คาดว่าอาจเป็นเพราะเหยื่อส่วนใหญ่ไม่อัปแพตช์ป้องกัน OS หรือกล่าวคือยังใช้ OS เวอร์ชันเก่าๆ อย่างไรก็ดีความโดดเด่นของ Kobalos ที่ทำให้แตกต่างจากมัลแวร์ตัวอื่นมีดังนี้

  • โค้ดขนาดเล็กมากเพียงแค่ 24 KB เท่านั้น แต่ภายในมีความซับซ้อนสูง โดยถูกเรียกเพียงครั้งเดียว จากนั้นจะทำ Recursive เพื่อรันการปฏิบัติการอีก 37 กิจกรรม หนึ่งในนั้งคือการแปลงเครื่องเหยื่อเป็นเซิร์ฟเวอร์ C&C
  • มีการทำ Obfuscation ให้โค้ด
  • มีการเข้ารหัสการสื่อสาร
  • อายุการฝังตัวของมัลแวร์ไม่แน่ชัดแต่มี String บางส่วนเชื่อมโยงได้กับ Windows 3.11 และ Windows 95 และที่แน่ๆคืออยู่ก่อนการค้นพบมัลแวร์ที่โจมตี Supercomputer ตัวแรกๆ ในปี 2019
  • แม้จะเล็งเครื่องที่มีทรัพยากรมากมาย แต่มัลแวร์ไม่มีการขุดเหมืองแต่อย่างใด
  • ปัจจุบันยังไม่มีการฟังธงถึงเป้าหมายที่แน่ชัด เพราะผู้เชี่ยวชาญยังไม่พบ Payload ที่เจาะจง แต่ที่มั่นใจคือมีการแก้ไขเปลี่ยนแปลง OpenSSH Client

นอกจากนี้ผู้เชี่ยวชาญยังพบวิธีการเข้าเชื่อมต่อระหว่างคนร้ายกับมัลแวร์ว่าเป็นไปได้ 3 ทางคือ 1.) เปิด TCP Listening รอการเชื่อมต่อ 2.) คุยผ่านเครื่องเหยื่ออื่นที่เป็น C&C Server 3.) แฝงตัวกับ OpenSSH ที่เปิดอยู่แล้ว การศึกษาครั้งนี้ผู้เชี่ยวชาญยังไม่สามารถสรุปอะไรอีกหลายอย่าง ทั้งเรื่องอายุและวิธีการเข้าโจมตี อย่างไรก็ดีหากท่านใดสนใจเบื้องหลังเชิงเทคนิคสามารถเข้าไปอ่านได้ที่บล็อกของ ESET ที่ https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/ 

ที่มา : https://www.bleepingcomputer.com/news/security/new-linux-malware-steals-ssh-credentials-from-supercomputers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เตรียมปรับลดส่วนแบ่งรายได้จากนักพัฒนาลงเหลือ 3%

Google Cloud เตรียมปรับลดส่วนแบ่งรายได้จากนักพัฒนา Third-party Cloud Software ลงจาก 20% เหลือ 3%

Akamai, Imperva ยืนหนึ่งบน Gartner Magic Quadrant ทางด้าน Web Application and API Protection ปี 2021

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application and API Protection ฉบับใหม่ปี 2021 ผลปรากฏว่า Akamai …