Süper Bilgisayarları Hedef Alan Küçük, Yaramaz Kod

Bilimsel araştırma ağlarına düzenlenen akınların tesirlerini azaltmak üzere CERN Bilgisayar Güvenlik Grubuyla birlikte çalışan ESET, yüksek performanslı bilgisayar kümelerine yönelik bir saldırıyı ortaya çıkardı. Kobalos ismi verilen berbat hedefli yazılımın başka amaçları ortasında, Kuzey Amerika uç nokta güvenlik satıcısı olan büyük bir Asya internet servis sağlayıcısı ve bir çok özel sunucu da yer alıyor.

Ziyanlı yazılım ismini Yunan mitolojisinden alıyor

ESET araştırmacıları Linux, BSD, Solaris ve büyük ihtimalle AIX ve Windows dahil olmak üzere birçok işletim sistemine saldırabilen küçük fakat karmaşık bu berbat hedefli yazılımı geriye dönük olarak inceledi. Kobalos’u araştıran ESET Araştırmacısı Marc-Etienne Léveillé mevzuyu şu formda açıkladı: “Küçük bir kod boyutunda olmasına karşın birçok marifete sahip olduğundan bu makus hedefli yazılıma Kobalos ismini verdik. Kobalos, Yunan mitolojisinde küçük, yaramaz bir yaratıktır. Ayrıyeten belirtmeliyiz ki bu biçimde karmaşık bir yazılım sadece Linux makus emelli yazılımlarında nadiren görülür.”

Marc-Etienne Léveillé

Evrak sistemine uzaktan erişim sağlıyor

Kobalos’un, saldırganların niyetini açığa çıkarmayan komutlar içeren bir art kapı olduğunu belirten Léveillé: “Kısaca anlatmak gerekirse, Kobalos belge sistemine uzaktan erişim sağlıyor. Bu sayede operatörler terminal oturumlar oluşturulabilir ve Kobalos’un bulaştığı başka sunuculara temas kurabilir.” dedi.

Kobalos’tan etkilenen tüm sunucular, operatörlerin tek bir komutu ile Komuta ve Denetim (C&C) sunucusuna dönüştürülebiliyor. C&C sunucusu IP adresleri ve irtibat noktaları yürütülebilir belgelere sabit kodlanmış olduğundan, operatörler bu yeni C&C sunucusunu kullanarak yeni Kobalos örnekleri oluşturabilir. Ayrıyeten, Kobalos’tan etkilenen birçok sistemde inançlı irtibat (SSH) istemcisi, kimlik bilgilerini çalmak üzere ihlale uğrar. İhlale uğramış bir makinede SSH istemcisi kullanan birinin kimlik bilgileri ele geçirilebilir. Daha sonra saldırganlar, bu bilgileri yeni keşfedilen sunucuya Kobalos’u kurmak için kullanabilir.

ESET araştırmacıları farklı sistemlere girişi yapabilmenin yollarından biri çalıntı kimlik bilgilerini kullanmak olduğundan, SSH sunucularına bağlanmak için iki faktörlü kimlik doğrulaması belirlemenin tehdidin tesirlerini azaltacağını belirtti.

Kaynak: Technopat