This Linux malware is hijacking supercomputers across the globe
تم إجراء هندسة عكسية بواسطة ESET وتم وصفها في منشور مدونة يوم الثلاثاء، وتم تتبع البرامج الضارة إلى هجمات ضد أجهزة الكمبيوتر العملاقة التي يستخدمها موفر خدمة إنترنت آسيوي كبير (ISP)، ومورد أمريكي لأمن نقاط النهاية، وعدد من الخوادم الخاصة، من بين أهداف أخرى.
قام فريق الأمن السيبراني بتسمية البرنامج الضار Kobalos احترامًا لـ kobalos، وهو مخلوق صغير في الأساطير اليونانية يعتقد أنه يسبب الأذى.
Kobalos غير معتاد لعدد من الأسباب. قاعدة البرنامج الضار صغيرة ولكنها معقدة بما يكفي للتأثير على الأقل على أنظمة تشغيل Linux و BSD و Solaris. يشتبه ESET في أنه قد يكون متوافقًا مع الهجمات ضد أجهزة AIX و Microsoft Windows أيضًا.
علق Marc-Etienne Léveillé الباحث في مجال الأمن السيبراني: "يجب القول إن هذا المستوى من التطور نادرًا ما يظهر في برامج Linux الضارة".
أثناء العمل مع فريق أمان الكمبيوتر التابع لـ CERN، أدركت ESET أن البرامج الضارة "الفريدة متعددة الأنظمة الأساسية" تستهدف مجموعات أجهزة الكمبيوتر عالية الأداء (HPC). في بعض حالات الإصابة، يبدو أن البرامج الضارة "الصاحب sidekick" تخطف اتصالات خادم SSH لسرقة بيانات الاعتماد التي تُستخدم بعد ذلك للوصول إلى مجموعات HPC ونشر Kobalos.
يقول الفريق: "قد يكون وجود سارق الاعتماد هذا يجيب جزئيًا عن كيفية انتشار Kobalos".
Kobalos، في جوهره، باب خلفي. بمجرد وصول البرنامج الضار إلى كمبيوتر عملاق، تدفن الشفرة نفسها في خادم OpenSSH قابل للتنفيذ وسيؤدي إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين.
تعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية (C2).
تمنح Kobalos مشغليها الوصول عن بعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضًا كنقاط اتصال بالخوادم الأخرى المصابة بالبرامج الضارة.
تقول ESET أن أحد الجوانب الفريدة لـ Kobalos هو قدرتها على تحويل أي خادم تم اختراقه إلى C2 من خلال أمر واحد.
لاحظ الباحثون أنه "نظرًا لأن عناوين IP لخادم C2 والمنافذ مشفرة بشكل ثابت في الملف القابل للتنفيذ، يمكن للمشغلين إنشاء عينات Kobalos جديدة تستخدم خادم C2 الجديد هذا".
كانت البرمجيات الخبيثة تمثل تحديًا للتحليل حيث يتم الاحتفاظ بكل كودها في "وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية" ، كما تقول ESET، مضيفة أن جميع السلاسل مشفرة كحاجز إضافي أمام الهندسة العكسية. اعتبارًا من الآن، يجب إجراء المزيد من الأبحاث حول البرامج الضارة- ومن قد يكون مسؤولاً عن تطويرها.
وعلقت ESET: "لم نتمكن من تحديد نوايا مشغلي Kobalos ". "لم يعثر مسئولو النظام على الأجهزة المخترقة على أي برامج ضارة أخرى، باستثناء أداة سرقة بيانات اعتماد SSH. ونأمل أن تساعد التفاصيل التي نكشفها اليوم في منشورنا الجديد على زيادة الوعي حول هذا التهديد ووضع نشاطه تحت المجهر".
قام فريق الأمن السيبراني بتسمية البرنامج الضار Kobalos احترامًا لـ kobalos، وهو مخلوق صغير في الأساطير اليونانية يعتقد أنه يسبب الأذى.
Kobalos غير معتاد لعدد من الأسباب. قاعدة البرنامج الضار صغيرة ولكنها معقدة بما يكفي للتأثير على الأقل على أنظمة تشغيل Linux و BSD و Solaris. يشتبه ESET في أنه قد يكون متوافقًا مع الهجمات ضد أجهزة AIX و Microsoft Windows أيضًا.
علق Marc-Etienne Léveillé الباحث في مجال الأمن السيبراني: "يجب القول إن هذا المستوى من التطور نادرًا ما يظهر في برامج Linux الضارة".
أثناء العمل مع فريق أمان الكمبيوتر التابع لـ CERN، أدركت ESET أن البرامج الضارة "الفريدة متعددة الأنظمة الأساسية" تستهدف مجموعات أجهزة الكمبيوتر عالية الأداء (HPC). في بعض حالات الإصابة، يبدو أن البرامج الضارة "الصاحب sidekick" تخطف اتصالات خادم SSH لسرقة بيانات الاعتماد التي تُستخدم بعد ذلك للوصول إلى مجموعات HPC ونشر Kobalos.
يقول الفريق: "قد يكون وجود سارق الاعتماد هذا يجيب جزئيًا عن كيفية انتشار Kobalos".
Kobalos، في جوهره، باب خلفي. بمجرد وصول البرنامج الضار إلى كمبيوتر عملاق، تدفن الشفرة نفسها في خادم OpenSSH قابل للتنفيذ وسيؤدي إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين.
تعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية (C2).
تمنح Kobalos مشغليها الوصول عن بعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضًا كنقاط اتصال بالخوادم الأخرى المصابة بالبرامج الضارة.
تقول ESET أن أحد الجوانب الفريدة لـ Kobalos هو قدرتها على تحويل أي خادم تم اختراقه إلى C2 من خلال أمر واحد.
لاحظ الباحثون أنه "نظرًا لأن عناوين IP لخادم C2 والمنافذ مشفرة بشكل ثابت في الملف القابل للتنفيذ، يمكن للمشغلين إنشاء عينات Kobalos جديدة تستخدم خادم C2 الجديد هذا".
كانت البرمجيات الخبيثة تمثل تحديًا للتحليل حيث يتم الاحتفاظ بكل كودها في "وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية" ، كما تقول ESET، مضيفة أن جميع السلاسل مشفرة كحاجز إضافي أمام الهندسة العكسية. اعتبارًا من الآن، يجب إجراء المزيد من الأبحاث حول البرامج الضارة- ومن قد يكون مسؤولاً عن تطويرها.
وعلقت ESET: "لم نتمكن من تحديد نوايا مشغلي Kobalos ". "لم يعثر مسئولو النظام على الأجهزة المخترقة على أي برامج ضارة أخرى، باستثناء أداة سرقة بيانات اعتماد SSH. ونأمل أن تساعد التفاصيل التي نكشفها اليوم في منشورنا الجديد على زيادة الوعي حول هذا التهديد ووضع نشاطه تحت المجهر".
