Kobalos – یک تهدید پیچیده لینوکس برای زیرساخت های محاسباتی با عملکرد بالا
محققان ESET بدافزارهایی را یافته اند که خوشه های محاسبات با عملکرد بالا (HPC)  و سایر زیرساخت های محاسباتی را هدف قرار داده اند  ما این بدافزار کوچک و در عین حال پیچیده را که برای بسیاری از سیستم عامل ها از جمله Linux ، BSD ، Solaris و احتمالاً AIX و Windows قابل حمل است را مهندسی معکوس کردیم. ما این بدافزار را به دلیل اندازه کد کوچک و شیطنت های آن  ، به عنوان Kobalos نامگذاری کرده ایم. در اساطیر یونان ، یک کوبالوس موجودی کوچک و شیطنت است.

 

در سال گذشته  ، چندین مورد امنیتی که شاید غیرمرتبط با وقایع مربوط به کوبالوس باشد در حوزه محاسبات فوق سریع  HPC رخ داده است. برخی از آنها به مطبوعات وارد شدند و جزئیات آن در گزارشی از European Grid Infrastructure (EGI) CSIRT در مورد مواردی که استخراج کنندگان رمز ارز از توان محاسباتب بالای HPC برای ماینینگ استفاده کرده اند ، به اطلاع عموم رسید. گزارش EGI CSIRT نشان می دهد که از سرورهای آسیب دیده در لهستان ، کانادا و چین در این حملات استفاده شده است. در گزارش  همچنین به Archer اشاره شده است ، ابر رایانه مستقر در انگلستان که در آن اطلاعات SSH به سرقت رفته است ، اما به جزئیات بیشر در مورد اینکه کدام بدافزار مورد استفاده قرارگرفته است اشاره نشده است.

سه تهدید برتر سایبری که در سال 2021 باید انتظار آن را داشته باشیم .

ما با تیم امنیت رایانه CERN و سازمان های دیگر درگیر در کاهش حملات به شبکه های تحقیقات علمی کار کرده ایم. به گفته آنها ، استفاده از بدافزار Kobalos (بد افزار زیرساخت های محاسباتی فوق سریع) قبل از حوادث دیگر است. در حالی که می دانیم کوبالوس خوشه های بزرگ HPC را به خطر انداخته است ، اما هیچ کس نمی تواند حوادث کوبالوس را به استفاده از بدافزار ارز رمزپایه مرتبط کند. بدافزار و تکنیک های توصیف شده در این حملات متفاوت است. ما همچنین می دانیم که کوبالوس به طور انحصاری HPC ها را هدف قرار نمی دهد: یک ISP بزرگ آسیایی ، یک فروشنده امنیت نقطه پایانی آمریکای شمالی (نه ما) و همچنین برخی از سرورهای شخصی نیز به دلیل این تهدید به خطر افتاده اند.

کد کوچک ، اهداف بزرگ

با تجزیه و تحلیل کامل کوبالوس مشخص شد که بعضی اوقات می توان از راه دور با اتصال SSH به سرور با استفاده از یک پورت TCP مشخص نمود که آیا به کوبالوس آلوده هست یا نه ؟ با استفاده از این دانش ، محققان ESET اینترنت را اسکن کردند تا قربانیان بالقوه را پیدا کنند. ما توانستیم چندین هدف کوبالوس ، از جمله سیستم های HPC را شناسایی کنیم که در شکل ذیل نمایان است

با استفاده از این دانش ، محققان ESET اینترنت را اسکن کردند تا قربانیان بالقوه را پیدا کنند. ما توانستیم چندین هدف کوبالوس ، از جمله سیستم های HPC را شناسایی کنیم.

درب پشتی و بکدور:

Kobalos یک درب پشتی عمومی است به این معنا که حاوی دستورات گسترده ای است که هدف حمله کنندگان را نشان نمی دهد. به طور خلاصه ، Kobalos اجازه دسترسی از راه دور به سیستم فایل را می دهد ، توانایی ایجاد جلسات ترمینال را فراهم می کند ، و امکان اتصال پروکسی به سایر سرورهای آلوده به Kobalos را فراهم می کند.

بررسی اجمالی ویژگی های کوبالوس و راه های دستیابی به آنها

 بررسی اجمالی ویژگی های کوبالوس و راه های دستیابی به آنها

چندین روش برای دستیابی اپراتورها به دستگاه آلوده به کوبالوس وجود دارد. روشی که بیشتر از همه دیده ایم این است که کوبالوس در سرور OpenSSH قابل اجرا (sshd) جاسازی شده است و در صورت اتصال از پورت منبع خاص TCP کد درب پشتی را تحریک می کند. انواع مستقل دیگری نیز وجود دارد که در sshd جاسازی نشده اند. این انواع یا به یک سرور C&C متصل می شوند که به عنوان یک واسطه عمل می کند ، یا منتظر اتصال ورودی در یک پورت TCP مشخص هستند.

چیزی که کوبالوس را منحصر به فرد می کند این واقعیت است که کد اجرای سرور C&C در خود کوبالوس است. هر سروری که توسط کوبالوس به خطر بیفتد توسط اپراتورهایی که یک دستور واحد ارسال می کنند می تواند به یک سرور C&C تبدیل شود. از آنجا که آدرس های IP سرور C&C و درگاه ها در فایل اجرایی جاسازی شده اند ، اپراتورها می توانند نمونه های جدید Kobalos را که از این سرور C&C جدید استفاده می کنند ، تولید کنند.

همکاری غول امنیت جهانی کسپراسکای و شرکت امنیت سایبری ربات Alias ​​Robotics

باور کنید که شما می توانید جلوی حمله های باج افزار ها بگیرید

 

لینک مطلب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code