安全公司ESET近日放出了一則警告，提醒一款被掛有木馬的OpenSSH軟件，或被用於從HPC高性能計算集群中竊取SSH證書。這款Linux惡意軟件被稱作Kobalos，安全研究人員稱之“小而復雜”且“詭計多端”。即使攻擊規模不大，但Kobalos後門還是滲透了一些主要目標，包括美國政府、歐洲大學、以及亞洲某些大型互聯網服務提供商（ISP）的系統。

Kobalos惡意軟件功能與訪問方式概覽（來自：ESET | PDF）

參考希臘神話中一個頑皮的小動物，ESET研究人員將這款惡意軟件命名為Kobalos 。但除了Linux、FreeBSD和Solaris，安全專家還發現了能夠在AIX、甚至Windows平台上運行的惡意軟件變種的蛛絲馬跡。

通過逆向工程可知，Kobalos 能夠在互聯網上掃描受害者。而且在大多數情況下，受害者主要集中在大型系統和超級計算機領域（另有涉及部分私有服務器設施），但目前尚未揪出相關事件的幕後黑手。

受控制的“肉雞”與遠程命令服務器的交互

過去一年，互聯網上曝光了多起涉及HPC 集群的安全事件。比如EGI CSIRT 調查發現有計算資源被利用於加密貨幣的挖礦，受害者包括波蘭、加拿大等地的受感染服務器。

新聞中還提到過英國的Archer 超級計算機（其SSH 證書被盜），但目前尚不清楚黑客利用哪些惡意軟件對其發起了怎樣的攻擊。

Kobalos 命令與控制服務器的指令碼

ESET 研究人員補充道，儘管Kobalos 的代碼庫很是精簡，但卻包含了用於運行命令和遠程服務器控制的代碼。

為緩解攻擊，安全公司建議用戶為SSH 服務器連接同時啟用雙因素身份驗證。

通過TCP 協議傳輸的Kobalos 惡意軟件數據包

最後，ESET 將其檢測到的這款惡意軟件正式命名為Linux / Kobalos（或Linux / Agent.IV）。

而用於SSH 證書竊取的程序，則被稱作Linux / SSHDoor.EV、Linux / SSHDoor.FB、或Linux / SSHDoor.FC 。