CERN Bilgisayar Güvenlik Ekibi ile birlikte çalışan siber güvenlik kuruluşu ESET, süper bilgisayarlara saldıran kötü amaçlı bir yazılım keşfetti.
ESET, Bilimsel araştırma ağlarına düzenlenen saldırıların etkilerini azaltmak üzere CERN Bilgisayar Güvenlik Ekibiyle birlikte çalıştı. ESET, yüksek performanslı bilgisayar kümelerine yönelik bir saldırıyı ortaya çıkardı. Kobalos adı verilen kötü amaçlı yazılımın diğer hedefleri arasında, büyük bir Asya internet servis sağlayıcısı ve bir çok özel sunucu da yer alıyor.
Zararlı yazılım adını Yunan mitolojisinden alıyor
Kobalos, Linux, BSD, Solaris ve AIX ve Windows dahil olmak üzere birçok işletim sistemine saldırabiliyor. ESET, küçük ama karmaşık bu kötü amaçlı yazılımı geriye dönük olarak inceledi. Kobalos’u araştıran ESET Araştırmacısı Marc-EtienneLéveillé konuyu şu şekilde açıkladı:
“Küçük bir kod boyutunda olmasına rağmen birçok beceriye sahip olduğundan bu kötü amaçlı yazılıma Kobalos adını verdik.
Kobalos, Yunan mitolojisinde küçük, yaramaz bir yaratıktır. Ayrıca belirtmeliyiz ki bu şekilde karmaşık bir yazılım yalnızca Linux kötü amaçlı yazılımlarında nadiren görülür.”
Dosya sistemine uzaktan erişim sağlıyor
Kobalos’un, saldırganların niyetini açığa çıkarmayan komutlar içeren bir arka kapı olduğunu belirten Léveillé şunları söyledi: “Kısaca anlatmak gerekirse, Kobalos dosya sistemine uzaktan erişim sağlıyor. Bu sayede operatörler terminal oturumlar oluşturulabilir ve Kobalos’un bulaştığı diğer sunuculara bağlantı kurabilir.”
Kobalos’tan etkilenen tüm sunucular, operatörlerin tek bir komutu ile Komuta ve Kontrol (C&C) sunucusuna dönüştürülebiliyor.
C&C sunucusu IP adresleri ve bağlantı noktaları yürütülebilir dosyalara sabit kodlanmış. Operatörler bu yeni C&C sunucusunu kullanarak yeni Kobalos örnekleri oluşturabilir. Ayrıca, Kobalos’tan etkilenen birçok sistemde güvenli iletişim (SSH) istemcisi, kimlik bilgilerini çalmak üzere ihlale uğrar.
İhlale uğramış bir makinede SSH istemcisi kullanan birinin kimlik bilgileri ele geçirilebilir. Daha sonra saldırganlar, bu bilgileri yeni keşfedilen sunucuya Kobalos’u kurmak için kullanabilir.
ESET araştırmacıları farklı sistemlere girişi yapabilmenin yollarından biri çalıntı kimlik bilgilerini kullanmak olduğunu söyledi.
SSH sunucularına bağlanmak için iki faktörlü kimlik doğrulaması belirlemenin tehdidin etkilerini azaltacağını belirtti.