Bilimsel araştırma ağlarına düzenlenen saldırıların etkilerini azaltmak üzere CERN Bilgisayar Güvenlik Ekibiyle birlikte çalışan ESET, yüksek performanslı bilgisayar kümelerine yönelik bir saldırıyı ortaya çıkardı. Kobalos adı verilen kötü amaçlı yazılımın diğer hedefleri arasında, Kuzey Amerika uç nokta güvenlik satıcısı olan büyük bir Asya internet servis sağlayıcısı ve bir çok özel sunucu da yer alıyor.
Zararlı yazılım adını Yunan mitolojisinden alıyor
ESET araştırmacıları Linux, BSD, Solaris ve büyük ihtimalle AIX ve Windows dahil olmak üzere birçok işletim sistemine saldırabilen küçük ama karmaşık bu kötü amaçlı yazılımı geriye dönük olarak inceledi. Kobalos’u araştıran ESET Araştırmacısı Marc-Etienne Léveillé konuyu şu şekilde açıkladı: “Küçük bir kod boyutunda olmasına rağmen birçok beceriye sahip olduğundan bu kötü amaçlı yazılıma Kobalos adını verdik. Kobalos, Yunan mitolojisinde küçük, yaramaz bir yaratıktır. Ayrıca belirtmeliyiz ki bu şekilde karmaşık bir yazılım yalnızca Linux kötü amaçlı yazılımlarında nadiren görülür.”
Dosya sistemine uzaktan erişim sağlıyor
Kobalos’un, saldırganların niyetini açığa çıkarmayan komutlar içeren bir arka kapı olduğunu belirten Léveillé: “Kısaca anlatmak gerekirse, Kobalos dosya sistemine uzaktan erişim sağlıyor. Bu sayede operatörler terminal oturumlar oluşturulabilir ve Kobalos’un bulaştığı diğer sunuculara bağlantı kurabilir.” dedi.
Kobalos’tan etkilenen tüm sunucular, operatörlerin tek bir komutu ile Komuta ve Kontrol (C&C) sunucusuna dönüştürülebiliyor. C&C sunucusu IP adresleri ve bağlantı noktaları yürütülebilir dosyalara sabit kodlanmış olduğundan, operatörler bu yeni C&C sunucusunu kullanarak yeni Kobalos örnekleri oluşturabilir. Ayrıca, Kobalos’tan etkilenen birçok sistemde güvenli iletişim (SSH) istemcisi, kimlik bilgilerini çalmak üzere ihlale uğrar. İhlale uğramış bir makinede SSH istemcisi kullanan birinin kimlik bilgileri ele geçirilebilir. Daha sonra saldırganlar, bu bilgileri yeni keşfedilen sunucuya Kobalos’u kurmak için kullanabilir.
ESET araştırmacıları farklı sistemlere girişi yapabilmenin yollarından biri çalıntı kimlik bilgilerini kullanmak olduğundan, SSH sunucularına bağlanmak için iki faktörlü kimlik doğrulaması belirlemenin tehdidin etkilerini azaltacağını belirtti.
Hibya Haber Ajansı