بدافزاری با عنوان Kobalos، ابررایانه‌ها (Supercomputer) در سرتاسر جهان را هدف قرار داده است.
به گزارش مرکز مدیریت راهبردی افتا، بر اساس گزارشی که شرکت ESET آن را منتشر کرده یک شرکت رسانندهٔ خدمات اینترنتی (ISP) در آسیا، یک شرکت آمریکایی ارائه‌دهنده محصولات امنیت نقاط پایانی و برخی شرکت‌های خصوصی نیز از جمله اهداف این بدافزار بوده‌اند.

Kobalos به دلایل مختلف غیرمتعارف تلقی می‌شود. کد آن اگر چه مختصر است اما آنقدر پیچیده و حرفه‌ای برنامه‌نویسی شده که سیستم‌های عامل Linux، BSD و Solaris از آن متأثر می‌شوند. ضمن آن‌که احتمال می‌رود که Kobalos قادر به آلوده‌سازی ماشین‌های AIX و Windows نیز باشد.
این سطح از پیچیدگی در کمتر بدافزار تحت Linux دیده شده است.
این بدافزار خاص و چندبستری، کلاسترهای موسوم به High Performance Computer – به اختصار HPC – را هدف قرار می‌دهد. در برخی نمونه‌ها از آلودگی، به نظر می‌رسد مهاجمان با استفاده از بدافزاری دیگر، ارتباطات SSH سرور را جهت سرقت اطلاعات اصالت‌سنجی در اختیار می‌گیرند. در ادامه با اطلاعات استخراج شده به کلاسترهای HPC دسترسی یافته و در نهایت اقدام به توزیع Kobalos بر روی آن می‌کنند.
Kobalos در اصل یک درپشتی (Backdoor) است. در مواردی به‌محض آن‌که بدافزار به ابررایانه راه می‌یابد کد خود را در پروسه اجرایی OpenSSH – فایل sshd – تزریق کرده و در صورت فراخوانی آن از طریق یک درگاه خاص TCP درپشتی را فعال می‌کند.
در سایر موارد، دستگاه آلوده به Kobalos به سرور فرماندهی (C۲) به‌عنوان یک مرد میانی (Middleman) متصل می‌شود یا بر روی درگاهی خاص منتظر دریافت فرمان می‌ماند.
Kobalos دسترسی از راه دور مهاجمان به سیستم‌های فایل دستگاه را فراهم کرده و آن‌ها را قادر به اجرای Terminal یا بهره گیری از آن‌ها به‌عنوان پراکسی به سایر سرورهای آلوده به بدافزار می‌کند.
به گفته ESET یکی از ویژگی‌های انحصاری Kobalos توانایی آن در تبدیل هر کدام از سرورهای آلوده به C۲ تنها از طریق یک فرمان است. از آنجایی که نشانی‌های IP و درگاه‌های سرور C۲ در کد فایل اجرایی درج شده مهاجمان می‌توانند نمونه‌های جدیدی از Kobalos ایجاد کنند که در آن‌ها به سرور جدید C۲ اشاره کند.

به دلیل وجود یک تابع که به‌طور بازگشتی (Recursive) زیرفرامین خود را فراخوانی میکند تحلیل این بدافزار پرچالش توصیف شده است. رمزگذاری تمامی رشته‌ها نیز یکی از دشواری‌های مهندسی معکوس آن بوده است.

ESET موفق به کشف انگیزه اصلی این مهاجمان در توزیع Kobalos نشده است. به‌خصوص آن‌که بر روی دستگاه‌های آلوده به‌غیر از یک ابزار سارق اطلاعات اصالت‌سنجی SSH فایل مخرب دیگری شناسایی نشده است. 
مشروح گزارش ESET نیز در لینک زیر قابل مطالعه است:

https://www.welivesecurity.com/۲۰۲۱/۰۲/۰۲/kobalos-complex-linux-threat-high-performance-computing-infrastructure

نشانه‌های آلودگی این بدافزار غیرمعمول در لینک زیر قابل دریافت است:

https://github.com/eset/malware-ioc/tree/master/kobalos