ESET ได้รายงานพบมัลแวร์ใหม่บน Linux ซึ่งพุ่งเป้าไปยังเครื่อง Supercomputer เป็นส่วนใหญ่ และมีพฤติกรรมที่ซับซ้อน ด้วยโค้ดขนาดเล็ก

Kobalos เป็นมัลแวร์ที่เน้นโจมตีระบบปฏิบัติการ Unix อย่าง FreeBSD และ Solaris ซึ่งบาง Variant มีการค้นพบว่าใช้บน AIX และ Windows ได้ด้วย โดยเมื่อ ESET ได้จัดทำ Fingerprint เพื่อสแกนหาการมีอยู่ของมัลแวร์ในโลกอินเทอร์เน็ตก็พบว่าเหยื่อมักเป็นพวกระบบประมวลผลขนาดใหญ่ทั้ง Supercomputer หรือเครื่องเซิร์ฟเวอร์ที่ใช้ในงานวิจัย การศึกษา หรือแม้กระทั่ง ISP รายใหญ่ในเอเซีย บริษัทให้บริการ Hosting และอื่นๆ โดยผู้เชี่ยวชาญยังไม่สรุปวิธีการเข้าถึงเครื่องเหยื่อแต่คาดว่าอาจเป็นเพราะเหยื่อส่วนใหญ่ไม่อัปแพตช์ป้องกัน OS หรือกล่าวคือยังใช้ OS เวอร์ชันเก่าๆ อย่างไรก็ดีความโดดเด่นของ Kobalos ที่ทำให้แตกต่างจากมัลแวร์ตัวอื่นมีดังนี้
- โค้ดขนาดเล็กมากเพียงแค่ 24 KB เท่านั้น แต่ภายในมีความซับซ้อนสูง โดยถูกเรียกเพียงครั้งเดียว จากนั้นจะทำ Recursive เพื่อรันการปฏิบัติการอีก 37 กิจกรรม หนึ่งในนั้งคือการแปลงเครื่องเหยื่อเป็นเซิร์ฟเวอร์ C&C
- มีการทำ Obfuscation ให้โค้ด
- มีการเข้ารหัสการสื่อสาร
- อายุการฝังตัวของมัลแวร์ไม่แน่ชัดแต่มี String บางส่วนเชื่อมโยงได้กับ Windows 3.11 และ Windows 95 และที่แน่ๆคืออยู่ก่อนการค้นพบมัลแวร์ที่โจมตี Supercomputer ตัวแรกๆ ในปี 2019
- แม้จะเล็งเครื่องที่มีทรัพยากรมากมาย แต่มัลแวร์ไม่มีการขุดเหมืองแต่อย่างใด
- ปัจจุบันยังไม่มีการฟังธงถึงเป้าหมายที่แน่ชัด เพราะผู้เชี่ยวชาญยังไม่พบ Payload ที่เจาะจง แต่ที่มั่นใจคือมีการแก้ไขเปลี่ยนแปลง OpenSSH Client
นอกจากนี้ผู้เชี่ยวชาญยังพบวิธีการเข้าเชื่อมต่อระหว่างคนร้ายกับมัลแวร์ว่าเป็นไปได้ 3 ทางคือ 1.) เปิด TCP Listening รอการเชื่อมต่อ 2.) คุยผ่านเครื่องเหยื่ออื่นที่เป็น C&C Server 3.) แฝงตัวกับ OpenSSH ที่เปิดอยู่แล้ว การศึกษาครั้งนี้ผู้เชี่ยวชาญยังไม่สามารถสรุปอะไรอีกหลายอย่าง ทั้งเรื่องอายุและวิธีการเข้าโจมตี อย่างไรก็ดีหากท่านใดสนใจเบื้องหลังเชิงเทคนิคสามารถเข้าไปอ่านได้ที่บล็อกของ ESET ที่ https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/