:quality(80)/p7i.vogel.de/wcms/77/69/7769ea9a9d22460f0b4834c0cf6600e4/0115332866.jpeg "High Performance Computing (HPC) und Künstlche Intelligenz (KI) ziehen sich magisch an und vereinen sich im großen und sehr großen Cluster. (Bild: Nicolas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/5f/f15f8d985e7f046a0894341ec8790609/0115366023.jpeg "Die ARM-Chips von Ampere Computing sind bei den großen Cloud-Anbietern wie Google, AWS und Oracle längst im Einsatz. Nun will auch Scaleway damit punkten - bei KI-Inferenz-Angeboten. (Bild: Ampere Computing)")
:quality(80)/p7i.vogel.de/wcms/89/c1/89c1c2503d3cff8fb73944dfb5b0d97b/0115316665.jpeg "Das Lieferkettensorgfaltspflichtengesetz (LkSG), das in Deutschland seit 2023 gilt, wird 2024 ausgeweitet. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/c2/8a/c28a3e2b1e5a668e85a60ab1513f0505/0114961639.jpeg "Alle Gewinner der diesjährigen 'DataCenter-Insider-Awards' plus Ulrike Ostler Chefredakteurin DataCenter-Insider (l.) und Moderatorin Margit Lieverz. Das gesamte Redaktionsteam bedankt sich herzlich bei allen, die abgestimmt und bei allen, die den Gala-Abend unvergesslich gemacht haben. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/51/6b/516b6a7be304ba9862e972c6e11c9fec/0114109625.jpeg "DataCenter-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4f/54/4f54a2b3b6a57d8ebe3bae525ae3ec3b/0115462631.jpeg "(Bild: frei lizenziert: SGL Carbon)")
:quality(80)/p7i.vogel.de/wcms/69/cc/69cc870a79b0fc5569c23fc533f87e88/0115492438.jpeg "Der Rechenzentrumscontainer in Massivholz; gegenüber einem Stahlcontainer punktet er mit weniger Umweltbelastung im Verhältnis 3 zu1. Übrigens: Brennen tut das Rechenzentrumsmodul „Timbermod“ auch nicht. (Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/bc/bc/bcbc6294a9380f55b19548522a63c462/0115460147.jpeg "Der Stammsitz des Unternehmens Technotrans SE ist in Sassenberg. (Bild: Technotrans SE)")
:quality(80)/p7i.vogel.de/wcms/27/5e/275e02a9d45e13737df434ce78225139/0115293991.jpeg "„Die Zukunft der Primärenergieversorgung von Großrechenzentren liegt in der Modularität und in Microgrids“, sagt Dieter Tolsdorf, Sales Director DACH bei der Piller Germany GmbH & Co. KG.
(Bild: Shooting Star Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/85/4d85dc79ca752a4948f2eaed2940906a/0115360937.jpeg "Ein Blick, den nur wenige im Kopf haben, wenn sie an Rechenzentren denken: die Rückkühler auf dem Dach eines solchen. Die IT muss gekühlt werde, da sie sonst im wahsrsten Sinne des Wortes schmilzt. Lässt sich hier die Effizienz steigern, geht es um riesigen Mengen an Strom, die gespart werden können, um Umweltbelastung und um viel Geld. (Bild: arkady_z - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/85/6785d9a752e796d46667b19efccd7c4e/0115461630.jpeg "Eine Vielzahl an unterstützten APIs und Protokollen macht „Graylog“ zu einer vielseitigen Lösung im Bereich des Log-Managements. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/90/a9901b6ccdd0c30312e64655f7810724/0115359899.jpeg "Netapp-Systeme zu nutzen schließt das Verwenden von „SAP HANA“ nicht aus, ist aber in einigen Fällen durchaus eine Alternative, so Netapp. (Bild: frei lizenziert: PublicDomainPictures )")
:quality(80)/p7i.vogel.de/wcms/e7/ff/e7ffa50991f14186b141307c31d76203/0115369243.jpeg "In vielen Unternehmen fehlt es an den Voraussetzungen, um (generative) KI sinnvoll anwenden zu können. (Bild: frei lizenziert: Alexandra_Koch( KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/5e/a6/5ea60d8eee46cdf7895e147b5327182a/0115334412.jpeg "Monitoring im Rechenzentrum ist mehr als zweidimensional. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/5b/ff/5bffbf2a137dce17847abf0e3818e366/0115281807.jpeg "Die Voraussagen in Glückskeksen passen immer - irgendwie. Fundierter sind die von Dr. Thomas King, CTO der Internet-Knoten DE-CIX. (Bild: frei lizenziert: Nicole Köhler)")
:quality(80)/p7i.vogel.de/wcms/ef/67/ef67f622c22b1029695dad658d96b2e5/0115203650.jpeg "Das Testbild aus den Anfängen des Farbfernsehens, Das so genannte FuBK-Testbild wurde laut Wikipedia n Deutschland gegen Ende 1973 eingeführt; FuBK steht für Funkbetriebskommission nach dem Pflichtenheft der ARD. Auf den Seiten unseres Portals war in den vergangenen Tagen nicht einmal ein solches zu sehen. (Bild: frei lizenziert: Christian Dorn)")
:quality(80)/p7i.vogel.de/wcms/e4/ca/e4ca6c1c4304327d02bbd79fcaf352bd/0114645257.jpeg "Ganz oben auf der Hype-Wellte: GenAI - Zurecht, bekräftigt Gartner-Analyst Arun Chandrasekaran: „Die Popularität vieler neuer KI-Techniken wird tiefgreifende Auswirkungen auf Wirtschaft und Gesellschaft haben. Das massive Pre-Training und die Skalierung von KI-Grundmodellen, die virale Verbreitung von Conversational Agents und die Verbreitung von generativen KI-Anwendungen läuten eine neue Welle von Mitarbeiterproduktivität und maschineller Kreativität ein". (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5b/0d/5b0dab70b42c86797471f5515e92100e/0114224931.jpeg "(Bild: Hypo Vorarlberg Bank)")
:quality(80)/p7i.vogel.de/wcms/cf/5a/cf5ab2030d6afc08869ebe97f73f92da/0115315575.jpeg "(Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/5a/05/5a05cd2836673f69a545709899604a93/0115241389.jpeg "Data Center Group (DCG) war der Generalübernehmer, der zusammen mit Data Center Security GmbH (DCS) und Infrared Capital Partners den Bau des Rechenzenztrums in Heidelnerg in elf Monaten bewerkstellihen konnte - mitsamt Eisspeicher und Anschlüssen für Kälte- und Wäremenetz sowie PV-Anlage.... (Bild: DC-Datacenter-Group GmbH)")
:quality(80)/p7i.vogel.de/wcms/f0/e1/f0e1b550e76d395594b7ca1a050a597a/0114825555.jpeg "Vast Data ud Cerebras haben bereits zusammengearbeitet und können auf erfolgreiche Projekte verweisen: Dazu gehört der kürzlich angekündigte Supercomputer „Condor Galaxy“, der in Zusammenarbeit mit G42 Cloud aufgebaut wurde und jetzt Teil von Core42 ist und speziell KI-Lasten verarbeitet. (Bild: ©2022 Cerebras Systems Inc.)")
:quality(80)/p7i.vogel.de/wcms/5e/ca/5eca30effe330bc9791334e10f372633/0113847116.jpeg "Pang Xin, Vice President der Huawei Data Storage Production Line (l.), und Frank Hua, Vice President für Automotive- und Industriedienstleistungen bei Dekra China, bei der offiziellen Verkündung der Zertifizierungen. (Bild: Huawei)")
:quality(80)/p7i.vogel.de/wcms/19/c3/19c359f249da0701360715edec5a000d/0113792109.jpeg "Computergenerierte Daten in DNA speichern? Ja, das geht, ist aber teuer. (Bild: frei lizenziert: Placidplace)")
:quality(80)/p7i.vogel.de/wcms/19/f2/19f29ccf47d713dcb42526d3dafc4bad/0113770470.jpeg "Der „Storage SuperServer SSG-221E-NE324R“ von Supermicro: Das ist ein
Dual Socket E (LGA-4677)-Rechner, der mit der 4. Generation des Intel-Prozessors „Xeon Scalable“ ausgestattet ist. Er fasst 32 DIMM Slots.
(Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/b2/03/b20330de29b22c6c515b4b2eb79f0dfe/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/e0/d8/e0d8d6e56b512a7dd3494875dfd620cd/0115069313.jpeg "Die Ära der Quantencomputer scheint zum Greifen nah. Höchste Zeit also, sich mit den bevorstehenden Risiken für die IT-Sicherheit zu befassen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/2f/642f92f4440c07ddac2b4db9ef8f0386/0115033934.jpeg "Zu den technischen Möglichkeiten und Restriktionen für die Gebäude-Automation von Rechenzentren kommen gesetzliche hinzu wie auch Normen. (Bild: frei lizenziert: RavindraPanwar)")
:quality(80)/p7i.vogel.de/wcms/cd/c3/cdc3f7ee22bada55cff0b0fddfdb196c/0115326186.jpeg "„... und wir werden erleben, wie die Leistung von Algorithmen die ihrer Schöpfer übertrifft“, sagt ikhil Malhotra ist Global Head des Makers Lab, einem 'Thin-Q-Bator'-Raum von Tech Mahindra. (Bild: frei lizenziert: deselect )")
:quality(80)/p7i.vogel.de/wcms/46/92/46922439ef659b323d111e056529c79b/0115077772.jpeg "Das Hightech-Unternehmen Quantum Machines zieht es zu Spätzle und Maultschen. (Bild: Q.M Technologies Ltd.)")
:quality(80)/p7i.vogel.de/wcms/3d/be/3dbe66bf152104556edc50b22d6c61b2/0115026945.jpeg "Quantencomputerplattform der nächsten Generation: Atom Computing hat ein atomares Array mit 1.225 Plätzen entwickelt, das derzeit mit 1.180 Qubits bestückt ist. (Bild: Atom Computing)")
:quality(80)/p7i.vogel.de/wcms/f3/da/f3dacd38e5834ae3f3c9d0a4bc9664d3/0113348475.jpeg "Das vom Umweltbundesamt beauftragte Projekt „Public Energy Efficiency Register of Data Centres “ (PeerDC), ist nach Einschätzung der Beteiligten Marina Köhn (UBA), Peter Radgen (IER Uni Stuttgart) und Felix Behrens (Öko-Institut e.V.) ein Erfolg auf ganzer Linie. Das sah DataCenter-Chefredakteurin Ulrike Ostler nach dem DataCenter-Diaries Podcast #16 nicht ganz so rosa. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f5/90f56ec6cb3ddbdabca2162fd5477836/0113078524.jpeg "(Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Eset-Mitarbeiter enthüllen die Multiplattform-Schädling, der High-Performance-Systeme attackiert Malware Kobalos narrt HPC-Cluster
Forscher des Anbieters von Sicherheitssoftware Eset, haben eine Malware analysiert, die unter anderem auf HPC-Cluster (HPC = High Performance Computing). Sie haben die kleine, aber komplexe Malware rückentwickelt, die auf viele Betriebssysteme wie Linux, BSD, Solaris und möglicherweise AIX und Windows portierbar ist.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/57100/57113/65.jpg "FNT_rgb_300dpi.jpg ()")
„Aufgrund ihrer winzigen Codegröße und vieler Tricks haben wir diese Malware `Kobalos´ benannt,“ schreibt Marc-Etienne M. Léveillé auf der Eset-Site. In der griechischen Mythologie sei ein Kobalos eine kleine, schelmische Kreatur. „Dieser Grad an Raffinesse ist bei Linux-Malware nur selten zu beobachten.“ In der Veröffentlichung „A wild Kobalos appears: Tricksy Linux malware goes after HPCs“, ist nun die Funktionsweise dieser Bedrohung beschrieben.
Laut Léveillé handelt es sich bei Kobalos um eine „generische Hintertür“. Kobalos gewährt Remotezugriff auf das Dateisystem, bietet die Möglichkeit Terminalsitzungen zu erzeugen, und erlaubt Proxy-Verbindungen zu anderen mit Kobalos infizierten Servern.
Unklar sei jedoch, welche Absichten hinter den Angriffen mit Kobalos stehen, so Léveillé. So ist auch nicht nachvollziehbar, welche Vorfälle, insbesondere mit Krypto-Miner, etwa mit den aufgespürten Sicherheitsvorfällen vom vergangenen Jahr, die im Gutachten des European Grid Infrastructure (EGI) Computer Security Incident Response Team (CSIRT) veröffentlicht wurden, mit der Kobold-Malware in Verbindung stehen. „Obwohl wir wissen, dass Kobalos große HPC-Cluster kompromittiert hat, konnte niemand die Kobalos-Vorfälle mit dem Einsatz von Kryptowährungs-Malware in Verbindung bringen“, schreibt Léveillé.
Klar ist aber, dass Kobalos nicht ausschließlich auf HPCs abzielt: Zum Beispiel war ein großer asiatischer Internet Service Provider, ein nordamerikanischer Endpoint Security-Anbieter sowie einige einfache Server ebenfalls von dieser Bedrohung betroffen. In Zusammenarbeit mit dem CERN Computer Security Team und anderen Organisationen t, die an der Abwehr von Angriffen auf wissenschaftliche Forschungsnetzwerke beteiligt sind, steht aber fest, dass dem Einsatz von Kobalos andere Vorfälle vorausgegangen sind.
Die Hintertür
Außerdem haben die Forscher herausgefunden, dass es manchmal möglich ist, eine Systemkompromittierung aus der Ferne zu erkennen, indem über einen bestimmten TCP-Quellport eine Verbindung zum SSH-Server herstellt wird. Mit diesem Wissen haben die Eset-Forscher im Internet potenzielle Opfern aufspüren und über die Bedrohung verständigen können.
Es gibt mehrere Möglichkeiten für die Hintermänner, einen mit Kobalos infizierten Computer zu erreichen. Die Methode, die am häufigsten auftaucht, besteht darin, dass Kobalos in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet ist und den Backdoor-Code auslöst, wenn die Verbindung von einem bestimmten TCP-Quellport kommt. Außerdem gibt es andere eigenständige Varianten, die nicht in sshd eingebettet sind. Diese Varianten stellen entweder eine Verbindung zu einem C&C-Server her, der als Mittelsmann fungiert, oder sie warten auf eine eingehende Verbindung an einem bestimmten TCP-Port.
Was Kobalos einzigartig macht, ist laut Léveillé die Tatsache, dass sich der Code zum Ausführen eines Command-and-Control-Servers (C&C Server) in Kobalos selbst befindet. Jeder von Kobalos kompromittierte Server lässt sich von den Bedienern, die einen einzigen Befehl senden, in einen solchen C&C-Server umwandeln. Da die IP-Adressen und Ports in der ausführbaren Datei fest codiert sind, können die Bediener neue Kobalos-Beispiele generieren, die diesen neuen C&C-Server verwenden.
Der Handlanger
Wie Léveillé schreibt, ist in den meisten von Kobalos kompromittierten Systemen der SSH-Client kompromittiert, um Anmeldeinformationen zu stehlen. „Dieser Stealer für Anmeldeinformationen unterscheidet sich von allen schädlichen OpenSSH-Clients, die wir bis jetzt gesehen haben, und wir haben in den letzten acht Jahren viele davon gesehen.“
Er nennt es „Raffinesse“. Die Raffinesse dieser Komponente sei jedoch nicht die gleiche wie bei Kobalos selbst: „Es wurde kein Wert daraufgelegt, frühe Varianten des Stealers zu verschleiern.“ Beispielsweise wurden Zeichenfolgen unverschlüsselt gelassen und gestohlene Benutzernamen und Kennwörter werden einfach in eine Datei auf der Festplatte geschrieben. Allerdings gibt es neues Varianten, die „eine gewisse Verschleierung“ enthalten und die Möglichkeit bieten, Anmeldeinformationen über das Netzwerk zu filtern.
Die Anwesenheit dieses Stealers gibt einen Hinweis darauf, wie sich Kobalos verbreitet. Jedem, der den SSH-Client eines kompromittierten Computers verwendet, werden die Anmeldeinformationen gestohlen. Diese Anmeldeinformationen können dann von den Angreifern verwendet werden, um Kobalos später auf dem neu entdeckten Server zu installieren.
Wie sich Kobalos versteckt
Jedenfalls macht Kobalos es seinen Ermittlern schwer; denn die Analyse von Kobalos „ist nicht so trivial wie bei anderer Linux-Malware, da der gesamte Code in einer einzigen Funktion gespeichert ist, die sich rekursiv selbst aufruft, um Unteraufgaben auszuführen“, berichtet Léveillé. Darüber hinaus seien alle Zeichenfolgen verschlüsselt, was erschwert, den Schadcode zu finden.
Der Autor setzt hinzu: „Die Verwendung der Hintertür erfordert einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort. Nach der Authentifizierung werden RC4-Schlüssel ausgetauscht und die weitere Kommunikation damit verschlüsselt.“
Die Gegenwehr
Mittlerweile erkennen Eset-Produkte die Kobalos-Malware als Linux/Kobalos oder Linux/Agent.IV. Der Stealer für SSH-Anmeldeinformationen wird als Linux/SSHDoor.EV, Linux/SSHDoor.FB oder Linux/SSHDoor.FC identifiziert. Eine YARA-Regel ist auch im Malware-ioc-Repository von Eset auf Github verfügbar.
Aus Netzwerksicht ist es möglich, Kobalos zu erkennen, indem auf den dem SSH-Server zugeordneten Ports nach Nicht-SSH-Verkehr sucht. Wenn die Kobalos-Backdoor mit einem Betreiber kommuniziert, wird weder vom Client noch vom Server ein SSH-Banner (SSH-2.0-…) ausgetauscht.
Eine Zwei-Faktor-Authentifizierung (2FA) für die Verbindung mit SSH-Servern hätte die Bedrohung mindern können, rügt Léveillé und mahnt an, eine solche einzurichten. Denn Kobalos sei „überdurchschnittlich weit fortgeschritten“ und große Unternehmen noch eine ganze Weile gefährdet.
Hinweise:
- Eine umfassende Liste von Kompromissindikatoren (IoCs) und Samples finden sich Eset-Github-Repository.
- Die Eset-Forscher möchten zudem die Arbeit von Maciej Kotowicz vom MalwareLab.plhervorheben, der Kobalos unabhängig analysiert hat und mit dem Ergebnisse gegenseitig ausgetauscht worden sind.
(ID:47111372)
:quality(80)/p7i.vogel.de/wcms/e2/14/e214a7547f0de489e4f741da72a691ed/0113968792.jpeg "SSH in Windows nutzen (Bild: THomas Joos)")
:quality(80)/p7i.vogel.de/wcms/2c/55/2c555514bb0f2e3e3c7966af8568cf8d/0111530786.jpeg "Mit SSH können Benutzer unter anderem sicher auf entfernte Server zugreifen. (Bild: frei lizenziert: Pete Lindfort)")