"كوبالوس".. برمجية ضارة تستهدف الحواسيب العملاقة

كشف فريق الأمن السيبراني في شركة ESET عن إحدى أنواع البرمجيات الضارة الصغيرة والمعقدة، تستهدف أجهزة الحاسب العملاقة في جميع أنحاء العالم، وأطلقوا عليه باسم Kobalos.
واستهدفت البرمجية الضارة عددا من الأهداف الكثيرة علي مستوي العالم، من بينها أجهزة الحاسب العملاقة التي يستخدمها موفر خدمة إنترنت آسيوي كبير ISP، ومورد أمريكي لأمن نقاط النهاية، وعدد من الخوادم الخاصة، من بين أهداف أخرى.
وتعتبر برمجية Kobalos غير معتادة لعدد من الأسباب، إذ إن قاعدة البرمجية الضارة صغيرة لكنها معقدة بما يكفي للتأثير في أنظمة تشغيل Linux و BSD و Solaris.
وتشتبه شركة الأمن السيبراني ESET في أنها قد تكون متوافقة مع الهجمات ضد أجهزة IBM AIX وويندوز أيضا.
وأثناء العمل مع فريق أمان الحاسب التابع للمنظمة الأوروبية للبحوث النووية CERN، أدرك فريق عمل شركة ESET أن البرمجية الضارة الفريدة المتعددة الأنظمة الأساسية تستهدف مجموعات الحواسيب العالية الأداء .HPC
وفي بعض حالات الإصابة، يبدو أن البرمجية الضارة تخطف اتصالات خادم SSH لسرقة البيانات التي تُستخدم بعد ذلك للوصول إلى مجموعات الحواسب العالية الأداء .HPC
وتعتبر كوبالوس في جوهرها بابا خلفيا، وبعد وصولها إلى الحاسب العملاق، فإن التعليمات البرمجية تخبئ نفسها في خادم OpenSSH القابل للتنفيذ.
ويؤدي ذلك إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين، وتعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية C2.
وتمنح كوبالوس مشغليها الوصول عن بُعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضا كنقاط اتصال بالخوادم الأخرى المصابة بالبرمجية الضارة.
كود صغير يصل لأهداف كبيرة
كشف تحليل شامل ل كوبالوس، أنه من الممكن في بعض الأحيان تحديد إذا كان النظام قد تم اختراقه عن بعد عن طريق الاتصال بخادم SSH باستخدام منفذ مصدر TCP معين.
وباستخدام هذه المعرفة، قام باحثو ESET بفحص الإنترنت للعثور على الضحايا المحتملين، وتمكنوا من تحديد أهداف متعددة لاختراقات كوبالوس، بما في ذلك أنظمة HPC .
وذكر "مارك إتيان ليفييه" الباحث في مجال الأمن السيبراني قائلا: "يجب القول إن هذا المستوى من التطور نادرًا ما يظهر في برمجيات لينكس الضارة".
الباب الخلفي
كوبالوس هو باب خلفي عام، بمعنى أنه يحتوي على أوامر واسعة لا تكشف نية المهاجمين، باختصار يمنح الوصول عن بُعد إلى نظام الملفات، ويوفر القدرة على إنتاج جلسات المحطة الطرفية، ويسمح بإنشاء اتصالات خارجية للخوادم المصابة الأخرى.
هناك طرق متعددة للمشغلين للوصول إلى الحواسب المصابة، والطريقة التي رأيناها أكثر من غيرها هي مكان تضمين كوبالوس في خادم OpenSSH القابل للتنفيذ (sshd)، ويؤدي إلى تشغيل رمز الباب الخلفي، إذا كان الاتصال قادمًا من منفذ مصدر TCP معين، وهناك متغيرات أخرى قائمة بذاتها غير مضمنة في sshd. تتصل هذه المتغيرات إما بخادم C&C الذي سيعمل كوسيط، أو ينتظر اتصالا داخليا على منفذ TCP معين.
ويؤدي ذلك إلى تشغيل الباب الخلفي إذا تم إجراء مكالمة عبر منفذ مصدر TCP معين، وتعمل المتغيرات الأخرى كوسطاء لاتصالات خادم القيادة والتحكم التقليدية C2.
وتمنح كوبالوس مشغليها الوصول عن بُعد إلى أنظمة الملفات، وتسمح لهم بإنشاء جلسات المحطة الطرفية، وتعمل أيضا كنقاط اتصال بالخوادم الأخرى المصابة بالبرمجية الضارة.
وذكرت ESET: أن أحد الجوانب الفريدة لبرمجية كوبالوس هو قدرتها على تحويل أي خادم تم اختراقه إلى C2 من خلال أمر واحد.
وكانت البرمجية الخبيثة تمثل تحديا للتحليل، حيث يتم الاحتفاظ بكل تعليماتها البرمجية في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية، ويتم تشفير جميع السلاسل كحاجز إضافي لعكس الهندسة.
البرمجيات الخبيثة
البرمجية الخبيثة تمثل تحديا للتحليل، حيث يتم الاحتفاظ بكل تعليماتها البرمجية في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء مهام فرعية، ويتم تشفير جميع السلاسل كحاجز إضافي لعكس الهندسة.
وقالت ESET: لم نتمكن من تحديد نوايا مشغلي كوبالوس، ولم يعثر مسئولو النظام عبر الأجهزة المخترقة على أي برمجيات ضارة أخرى، باستثناء أداة سرقة بيانات اعتماد SSH.
لا يشبه سارق بيانات الاعتماد هذا أيا من عملاء OpenSSH الخبيثين الذين رأيناهم من قبل، وقد نظرنا في عشرات منهم في السنوات الثماني الماضية. إن تعقيد هذا المكون ليس هو نفسه كوبالوس: لم يكن هناك أي جهد للتعتيم على المتغيرات المبكرة لسارق الاعتماد. على سبيل المثال، تُركت السلاسل غير مشفرة وأسماء المستخدمين المسروقة وكلمات المرور مكتوبة ببساطة في ملف على القرص. ومع ذلك، وجدنا متغيرات أحدث تحتوي على بعض التشويش والقدرة على اختراق بيانات الاعتماد عبر الشبكة.
قد يجيب وجود سارق الاعتماد هذا جزئيا على كيفية انتشار كوبالوس. أي شخص يستخدم عميل SSH لجهاز مخترق سيتم التقاط بيانات اعتماده. يمكن بعد ذلك استخدام بيانات الاعتماد هذه من قبل المهاجمين لتثبيت كوبالوس على الخادم المكتشف حديثًا لاحقًا.
كيف يختبئ؟
إن تحليل برمجية كوبالوس تؤكد علي أنه ليس تافها مثل معظم برامج لينيكس الضارة لأن كل شفراته محفوظة في وظيفة واحدة تستدعي نفسها بشكل متكرر لأداء المهام الفرعية.
هذا يجعل التحليل أكثر صعوبة. بالإضافة إلى ذلك، يتم تشفير جميع السلاسل، لذا يصعب العثور على الشفرة الضارة أكثر من البحث في العينات بشكل ثابت.
يتطلب استخدام الباب الخلفي مفتاح RSA خاصا بسعة 512 بت وكلمة مرور بطول 32 بايت. بمجرد المصادقة، يتم تبادل مفاتيح RC4 ويتم تشفير باقي الاتصالات معهم.