تم اكتشاف البرامج الضارة بواسطة ESET ووصفها في المدونة يوم الثلاثاء ، تتعلق الهجمات على أجهزة الكمبيوتر العملاقة التي يستخدمها موفر خدمة إنترنت آسيوي كبير (ISP) ، ومزود أمان نقاط النهاية في الولايات المتحدة وعدد من الخوادم الخاصة ، من بين أهداف أخرى.
أطلق فريق الأمن السيبراني على البرمجيات الخبيثة اسم كوبالوس على اسم كوبالوس ، وهو مخلوق صغير في الأساطير اليونانية يعتبر ضارًا بشكل استثنائي.
كوبالوس غير عادي لعدد من الأسباب. تعد قاعدة التعليمات البرمجية للبرامج الضارة صغيرة، ولكنها معقدة بما يكفي للتأثير على أنظمة التشغيل Linux وBSD وSolaris على الأقل. تشتبه شركة ESET في أنه قد يكون متوافقًا مع الهجمات على أجهزة AIX و Microsoft النوافذ.
من خلال العمل مع مجموعة أمان الكمبيوتر CERN ، أدركت ESET أن البرامج الضارة الفريدة عبر الأنظمة الأساسية كانت تستهدف مجموعات الحوسبة عالية الأداء (HPC). في بعض حالات الإصابة ، اتضح أن البرامج الضارة "التابعة لجهة خارجية" تعترض الاتصالات بخادم SSH لسرقة بيانات الاعتماد ، والتي تُستخدم بعد ذلك للوصول إلى مجموعات HPC وعمليات نشر Kobalos.
قاعدة كود كوبالوس صغيرة ، لكن تأثيرها ليس على الإطلاق.
كوبالوس هو في الأساس باب خلفي. بمجرد وصول البرنامج الضار إلى الكمبيوتر العملاق ، يختبئ الرمز في خادم OpenSSH القابل للتنفيذ ويطلق بابًا خلفيًا إذا تم إجراء المكالمة من خلال منفذ إخراج TCP معين. تعمل الخيارات الأخرى كوسطاء للاتصالات التقليدية بخادم القيادة والتحكم (C2).
تتيح Kobalos لمشغليها الوصول عن بُعد إلى أنظمة الملفات ، وتسمح لهم بتشغيل جلسات المحطة الطرفية ، وتعمل كنقاط اتصال بالخوادم الأخرى المصابة بالبرامج الضارة. تدعي ESET أن الميزة الفريدة لـ Kobalos هي قدرتها على تحويل أي خادم مخترق إلى C2 بأمر واحد.
علق ESET قائلاً: "لم نتمكن من تحديد نوايا مشغلي Kobalos". "لم يتم اكتشاف أي برامج ضارة أخرى ، بخلاف سرقة بيانات اعتماد SSH ، بواسطة مسؤولي النظام على الأجهزة المخترقة. نأمل أن تساعد التفاصيل التي نكشفها اليوم في نشرتنا الجديدة على زيادة الوعي بهذا التهديد والكشف عن نشاطه ".
اقرأ أيضا: