Linux恶意软件Kobalos曝光可利用OpenSSH软件后门窃取证书

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。

Kobalos 恶意软件功能与访问方式概览（来自：ESET | PDF）
参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。
通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。

受控制的“肉鸡”与远程命令服务器的交互
过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。
新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。

Kobalos 命令与控制服务器的指令码
ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。
为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。

通过 TCP 协议传输的 Kobalos 恶意软件数据包
最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。
而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。