رولا
تستهدف إحدى أنواع البرمجيات الضارة الصغيرة والمعقدة أجهزة الحاسب العملاقة في جميع أنحاء العالم، قام فريق الأمن السيبراني في شركة ESET بتسمية البرمجية الضارة باسم Kobalos.
واستهدفت البرمجية الضارة أجهزة الحاسب العملاقة التي يستخدمها موفر خدمة إنترنت آسيوي كبير ISP، ومورد أمريكي لأمن نقاط النهاية، وعدد من الخوادم الخاصة، من بين أهداف أخرى.
تعتبر برمجية Kobalos غير معتادة لعدد من الأسباب، إذ إن قاعدة البرمجية الضارة صغيرة لكنها معقدة بما يكفي للتأثير في أنظمة تشغيل Linux و BSD و Solaris.
تشتبه شركة الأمن السيبراني ESET في أنها قد تكون متوافقة مع الهجمات ضد أجهزة IBM AIX وويندوز أيضًا.
قال (مارك إتيان ليفييه) Marc-Etienne Léveillé، الباحث في مجال الأمن السيبراني: يجب القول إن هذا المستوى من التطور نادرًا ما يظهر في برمجيات لينكس الضارة.
أثناء العمل مع فريق أمان الحاسب التابع للمنظمة الأوروبية للبحوث النووية CERN، أدركت ESET أن البرمجية الضارة الفريدة المتعددة الأنظمة الأساسية تستهدف مجموعات الحواسيب العالية الأداء HPC.
وفي بعض حالات الإصابة، يبدو أن البرمجية الضارة تخطف اتصالات خادم SSH لسرقة البيانات التي تُستخدم بعد ذلك للوصول إلى مجموعات الحواسيب العالية الأداء HPC ونشر Kobalos.
وتعتبر Kobalos في جوهرها بابًا خلفيًا، وبعد وصولها إلى الحاسب العملاق، فإن التعليمات البرمجية تخبئ نفسها في خادم OpenSSH القابل للتنفيذ. يؤدي ذلك إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين، وتعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية C2.
تمنح Kobalos مشغليها الوصول عن بُعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضًا كنقاط اتصال بالخوادم الأخرى المصابة بالبرمجية الضارة.
وتقول ESET: إن أحد الجوانب الفريدة لبرمجية Kobalos هو قدرتها على تحويل أي خادم تم اختراقه إلى C2 من خلال أمر واحد.
وكانت البرمجية الخبيثة تمثل تحديًا للتحليل حيث يتم الاحتفاظ بكل تعليماتها البرمجية في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية، ويتم تشفير جميع السلاسل كحاجز إضافي لعكس الهندسة.
وقالت ESET: لم نتمكن من تحديد نوايا مشغلي Kobalos، ولم يعثر مسؤولو النظام عبر الأجهزة المخترقة على أي برمجيات ضارة أخرى، باستثناء أداة سرقة بيانات اعتماد SSH.
