مصر وجنوب السودان.. خطوات هامة نحو تعاون مثمر في مجال المياه    مش الأفضل في مصر.. إبراهيم سعيد يهاجم لاعب الزمالك زيزو    عاجل.. 16 شهيدا من عائلتين في غارات إسرائيلية على رفح    150 جنيهًا متوسط أسعار بيض شم النسيم اليوم الاثنين.. وهذه قيمة الدواجن    محمد عبده يعلن إصابته بمرض السرطان    البابا تواضروس : التحدي الكبير لكل الأسر المصرية هو كيفية مواجهة الشر والانتصار عليه    أقباط الأقصر يحتفلون بعيد القيامة المجيد على كورنيش النيل (فيديو)    الجرام يتجاوز ال3500 جنيه.. سعر الذهب والسبائك بالمصنعية اليوم في الصاغة بعد الارتفاع    بعد ارتفاعها.. أسعار الحديد والأسمنت اليوم الإثنين 6 مايو 2024 في المصانع والأسواق    تزامنا مع شم النسيم.. افتتاح ميدان "سينما ريكس" بالمنشية عقب تطويره    تخفيضات على التذاكر وشهادات المعاش بالدولار.. "الهجرة" تعلن مفاجأة سارة للمصريين بالخارج    شهداء بينهم أطفال في قصف للاحتلال على رفح    قادة الدول الإسلامية يدعون العالم لوقف الإبادة ضد الفلسطينيين    مئات ملايين الدولارات.. واشنطن تزيد ميزانية حماية المعابد اليهودية    ما المحذوفات التي أقرتها التعليم لطلاب الثانوية في مادتي التاريخ والجغرافيا؟    رضا عبد العال ينتقد جوزيه جوميز بعد خسارة الزمالك أمام سموحة    خالد مرتجي: مريم متولي لن تعود للأهلي نهائياً    مدحت شلبي يكشف تطورات جديدة في أزمة افشة مع كولر في الأهلي    ضبط طن دقيق وتحرير 61 محضرًا تموينيا لمحال ومخابز مخالفة بالإسماعيلية    من بلد واحدة.. أسماء مصابي حادث سيارة عمال اليومية بالصف    "كانت محملة عمال يومية".. انقلاب سيارة ربع نقل بالصف والحصيلة 13 مصاباً    برنامج مكثف لقوافل الدعوة المشتركة بين الأزهر والأوقاف والإفتاء في محافظات الجمهورية    فتحي عبدالوهاب يكشف عن إصابته في مسلسل «المداح»    الجمهور يغني أغنية "عمري معاك" مع أنغام خلال حفلها بدبي (صور)    وسيم السيسي: الأدلة العلمية لا تدعم رواية انشقاق البحر الأحمر للنبي موسى    هل يجوز تعدد النية فى الصلاة؟.. أمين الفتوى يُجيب -(فيديو)    أمير عزمي: خسارة الزمالك أمام سموحة تصيب اللاعبين بالإحباط.. وجوميز السبب    عاجل - انفجار ضخم يهز مخيم نور شمس شمال الضفة الغربية.. ماذا يحدث في فلسطين الآن؟    بعد عملية نوعية للقسام .. نزيف نتنياهو في "نستاريم" هل يعيد حساباته باجتياح رفح؟    يمن الحماقي ل قصواء الخلالي: مشروع رأس الحكمة قبلة حياة للاقتصاد المصري    كشف ملابسات العثور على جثة مجهولة الهوية بمصرف فى القناطر الخيرية    نقابة أطباء القاهرة: تسجيل 1582 مستشفى خاص ومركز طبي وعيادة بالقاهرة خلال عام    تصل ل9 أيام متواصلة.. عدد أيام إجازة عيد الأضحى 2024 في مصر للقطاعين العام والخاص    أستاذ اقتصاد ل قصواء الخلالي: تصنيف «فيتش» بشأن مصر له دور في تدفق الاستثمار    الأوقاف: تعليمات بعدم وضع اي صندوق تبرع بالمساجد دون علم الوزارة    أشرف أبو الهول ل«الشاهد»: مصر تكلفت 500 مليون دولار في إعمار غزة عام 2021    طاقم حكام مباراة بيراميدز وفيوتشر في الدوري    مصطفى عمار: «السرب» عمل فني ضخم يتناول عملية للقوات الجوية    بيج ياسمين: عندى ارتخاء فى صمامات القلب ونفسي أموت وأنا بتمرن    حظك اليوم برج الحوت الاثنين 6-5-2024 على الصعيدين المهني والعاطفي    رئيس البنك الأهلي: متمسكون باستمرار طارق مصطفى.. وإيقاف المستحقات لنهاية الموسم    الإفتاء: احترام خصوصيات الناس واجب شرعي وأخلاقي    تؤدي إلى الفشل الكلوي وارتفاع ضغط الدم.. الصحة تحذر من تناول الأسماك المملحة    عضو «المصرية للحساسية»: «الملانة» ترفع المناعة وتقلل من السرطانات    تعزيز صحة الأطفال من خلال تناول الفواكه.. فوائد غذائية لنموهم وتطورهم    إنفوجراف.. نصائح مهمة من نقابة الأطباء البيطريين عند شراء وتناول الفسيخ والرنجة    أسباب تسوس الأسنان وكيفية الوقاية منها    لفتة طيبة.. طلاب هندسة أسوان يطورون مسجد الكلية بدلا من حفل التخرج    المدينة الشبابية ببورسعيد تستضيف معسكر منتخب مصر الشابات لكرة اليد مواليد 2004    سعرها صادم.. ريا أبي راشد بإطلالة جريئة في أحدث ظهور    بإمكانيات خارقة حتدهشك تسريبات حول هاتف OnePlus Nord CE 4 Lite    إصابة 10 أشخاص في غارة جوية روسية على خاركيف شرق أوكرانيا    وزيرة الهجرة: 1.9 مليار دولار عوائد مبادرة سيارات المصريين بالخارج    إغلاق مناجم ذهب في النيجر بعد نفوق عشرات الحيوانات جراء مخلفات آبار تعدين    أمطار خفيفة على المدن الساحلية بالبحيرة    أمينة الفتوى: لا مانع شرعيا فى الاعتراف بالحب بين الولد والبنت    "العطاء بلا مقابل".. أمينة الفتوى تحدد صفات الحب الصادق بين الزوجين    شم النسيم 2024 يوم الإثنين.. الإفتاء توضح هل الصيام فيه حرام؟    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"كوبالوس".. برمجية ضارة تستهدف الحواسيب العملاقة
نانسى متولى نشر في بوابة الأهرام يوم 18 - 04 - 2021

كشف فريق الأمن السيبراني في شركة ESET عن إحدى أنواع البرمجيات الضارة الصغيرة والمعقدة، تستهدف أجهزة الحاسب العملاقة في جميع أنحاء العالم، وأطلقوا عليه باسم Kobalos.
واستهدفت البرمجية الضارة عددا من الأهداف الكثيرة علي مستوي العالم، من بينها أجهزة الحاسب العملاقة التي يستخدمها موفر خدمة إنترنت آسيوي كبير ISP، ومورد أمريكي لأمن نقاط النهاية، وعدد من الخوادم الخاصة، من بين أهداف أخرى.
وتعتبر برمجية Kobalos غير معتادة لعدد من الأسباب، إذ إن قاعدة البرمجية الضارة صغيرة لكنها معقدة بما يكفي للتأثير في أنظمة تشغيل Linux و BSD و Solaris.
وتشتبه شركة الأمن السيبراني ESET في أنها قد تكون متوافقة مع الهجمات ضد أجهزة IBM AIX وويندوز أيضا.
وأثناء العمل مع فريق أمان الحاسب التابع للمنظمة الأوروبية للبحوث النووية CERN، أدرك فريق عمل شركة ESET أن البرمجية الضارة الفريدة المتعددة الأنظمة الأساسية تستهدف مجموعات الحواسيب العالية الأداء .HPC
وفي بعض حالات الإصابة، يبدو أن البرمجية الضارة تخطف اتصالات خادم SSH لسرقة البيانات التي تُستخدم بعد ذلك للوصول إلى مجموعات الحواسب العالية الأداء .HPC
وتعتبر كوبالوس في جوهرها بابا خلفيا، وبعد وصولها إلى الحاسب العملاق، فإن التعليمات البرمجية تخبئ نفسها في خادم OpenSSH القابل للتنفيذ.
ويؤدي ذلك إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين، وتعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية C2.
وتمنح كوبالوس مشغليها الوصول عن بُعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضا كنقاط اتصال بالخوادم الأخرى المصابة بالبرمجية الضارة.
كود صغير يصل لأهداف كبيرة
كشف تحليل شامل ل كوبالوس، أنه من الممكن في بعض الأحيان تحديد إذا كان النظام قد تم اختراقه عن بعد عن طريق الاتصال بخادم SSH باستخدام منفذ مصدر TCP معين.
وباستخدام هذه المعرفة، قام باحثو ESET بفحص الإنترنت للعثور على الضحايا المحتملين، وتمكنوا من تحديد أهداف متعددة لاختراقات كوبالوس، بما في ذلك أنظمة HPC .
وذكر "مارك إتيان ليفييه" الباحث في مجال الأمن السيبراني قائلا: "يجب القول إن هذا المستوى من التطور نادرًا ما يظهر في برمجيات لينكس الضارة".
الباب الخلفي
كوبالوس هو باب خلفي عام، بمعنى أنه يحتوي على أوامر واسعة لا تكشف نية المهاجمين، باختصار يمنح الوصول عن بُعد إلى نظام الملفات، ويوفر القدرة على إنتاج جلسات المحطة الطرفية، ويسمح بإنشاء اتصالات خارجية للخوادم المصابة الأخرى.
هناك طرق متعددة للمشغلين للوصول إلى الحواسب المصابة، والطريقة التي رأيناها أكثر من غيرها هي مكان تضمين كوبالوس في خادم OpenSSH القابل للتنفيذ (sshd)، ويؤدي إلى تشغيل رمز الباب الخلفي، إذا كان الاتصال قادمًا من منفذ مصدر TCP معين، وهناك متغيرات أخرى قائمة بذاتها غير مضمنة في sshd. تتصل هذه المتغيرات إما بخادم C&C الذي سيعمل كوسيط، أو ينتظر اتصالا داخليا على منفذ TCP معين.
ويؤدي ذلك إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين، وتعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية C2.
وتمنح كوبالوس مشغليها الوصول عن بُعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضا كنقاط اتصال بالخوادم الأخرى المصابة بالبرمجية الضارة.
وذكرت ESET: أن أحد الجوانب الفريدة لبرمجية كوبالوس هو قدرتها على تحويل أي خادم تم اختراقه إلى C2 من خلال أمر واحد.
وكانت البرمجية الخبيثة تمثل تحديا للتحليل، حيث يتم الاحتفاظ بكل تعليماتها البرمجية في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية، ويتم تشفير جميع السلاسل كحاجز إضافي لعكس الهندسة.
البرمجيات الخبيثة
البرمجية الخبيثة تمثل تحديا للتحليل، حيث يتم الاحتفاظ بكل تعليماتها البرمجية في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية، ويتم تشفير جميع السلاسل كحاجز إضافي لعكس الهندسة.
وقالت ESET: لم نتمكن من تحديد نوايا مشغلي كوبالوس، ولم يعثر مسئولو النظام عبر الأجهزة المخترقة على أي برمجيات ضارة أخرى، باستثناء أداة سرقة بيانات اعتماد SSH.
لا يشبه سارق بيانات الاعتماد هذا أيا من عملاء OpenSSH الخبيثين الذين رأيناهم من قبل، وقد نظرنا في عشرات منهم في السنوات الثماني الماضية. إن تعقيد هذا المكون ليس هو نفسه كوبالوس: لم يكن هناك أي جهد للتعتيم على المتغيرات المبكرة لسارق الاعتماد. على سبيل المثال، تُركت السلاسل غير مشفرة وأسماء المستخدمين المسروقة وكلمات المرور مكتوبة ببساطة في ملف على القرص. ومع ذلك، وجدنا متغيرات أحدث تحتوي على بعض التشويش والقدرة على اختراق بيانات الاعتماد عبر الشبكة.
قد يجيب وجود سارق الاعتماد هذا جزئيا على كيفية انتشار كوبالوس. أي شخص يستخدم عميل SSH لجهاز مخترق سيتم التقاط بيانات اعتماده. يمكن بعد ذلك استخدام بيانات الاعتماد هذه من قبل المهاجمين لتثبيت كوبالوس على الخادم المكتشف حديثًا لاحقًا.
كيف يختبئ؟
إن تحليل برمجية كوبالوس تؤكد علي أنه ليس تافها مثل معظم برامج لينيكس الضارة لأن كل شفراته محفوظة في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء المهام الفرعية.
هذا يجعل التحليل أكثر صعوبة. بالإضافة إلى ذلك، يتم تشفير جميع السلاسل، لذا يصعب العثور على الشفرة الضارة أكثر من البحث في العينات بشكل ثابت.
يتطلب استخدام الباب الخلفي مفتاح RSA خاصا بسعة 512 بت وكلمة مرور بطول 32 بايت. بمجرد المصادقة، يتم تبادل مفاتيح RC4 ويتم تشفير باقي الاتصالات معهم.

انقر هنا لقراءة الخبر من مصدره.