Videó: Malware: Difference Between Computer Viruses, Worms and Trojans (November 2024)
A támadók több mint 25 000 Unix szervert fertőzöttek meg és ragadtak el annak érdekében, hogy masszív spam- és malware-terjesztési platformot hozzanak létre - mondta az ESET. A Linux és az Unix rendszergazdáinak azonnal ellenőrizniük kell, hogy szervereik az áldozatok között vannak-e.
A támadási kampány mögött álló banda a fertőzött kiszolgálókat hitelesítő adatok ellopására, spam és rosszindulatú programok terjesztésére, és a felhasználók átirányítására rosszindulatú webhelyekre. A fertőzött szerverek naponta 35 millió levélszemét üzenetet küldenek, és napi fél millió web-látogatót átirányítanak rosszindulatú webhelyekre - mondta Pierre-Marc Bureau, az ESET biztonsági intelligenciaprogramjának vezetője. A kutatók úgy vélik, hogy a Operation Windigo elnevezésű kampány több mint 25 000 szervert rablott el az elmúlt két és fél évben. A csoport jelenleg 10 000 szerverrel rendelkezik az irányításuk alatt - mondta az Bureau.
Az ESET kiadott egy műszaki dokumentumot, amelyben részletesebben megismerik a kampányt, és tartalmaztak egy egyszerű ssh parancsot, amelyet az adminisztrátorok felhasználhatnak arra, hogy kiderítsék, ha szervereiket eltérítették-e. Ha ez történik, akkor a rendszergazdáknak újratelepíteniük kell az operációs rendszert a fertőzött kiszolgálóra, és meg kell változtatniuk az összes hitelesítő adatot, amelyet valaha a gépbe való bejelentkezéshez használtak. Mivel a Windigo összegyűjtötte a hitelesítő adatokat, az adminisztrátoroknak feltételezniük kell az adott gépen használt összes jelszót és magán OpenSSH kulcsot, és ezeket meg kell változtatni - figyelmeztette az ESET. Az ajánlások mind a Unix, mind a Linux rendszergazdáira vonatkoznak.
A gép törlése és az operációs rendszer újratelepítése a semmiből kissé szélsőségesnek tűnhet, de figyelembe véve, hogy a támadók elloptak rendszergazdai hitelesítő adatokat, beépítették a hátsó ajtót, és távoli hozzáférést kaptak a szerverekhez, a nukleáris lehetőség igénybevétele szükségesnek tűnik.
Attack Elements
A Windigo kifinomult malware koktélra támaszkodik a kiszolgálók eltérítésére és megfertőzésére, ideértve a Linux / Ebury-t, az OpenSSH hátsó ajtót és a hitelesítő adatok tárolását, valamint öt további rosszindulatú programot. Egy hétvégén az ESET kutatói több mint 1, 1 millió különféle IP-címet figyeltek meg, amelyek áthaladnak a Windigo infrastruktúráján, mielőtt átirányították őket a rosszindulatú webhelyekre.
A Windigo által veszélyeztetett webhelyek viszont egy kattintással való visszaélést és spamküldő rosszindulatú szoftvert kihasználó kihasználó készlettel fertőzték meg a Windows felhasználókat, megkérdőjelezhető hirdetéseket jelentettek meg a Mac felhasználók számára a randevú oldalak számára, és az iPhone felhasználókat átirányították online pornó webhelyekre. Az olyan jól ismert szervezetek, mint a cPanel és a kernel.org, voltak az áldozatok között, bár tisztították meg rendszereiket - mondta az Bureau.
A spamkomponens által érintett operációs rendszerek közé tartozik a Linux, a FreeBSD, az OpenBSD, az OS X és még a Windows is, mondta az Bureau.
Gazember Szerverek
Tekintettel arra, hogy a világ webhelyeinek ötödikéből Linux szerverek futnak, a Windigónak rengeteg potenciális áldozata van. A kiszolgálók veszélyeztetésére szolgáló hátsó ajtót manuálisan telepítették, és kihasználják a rossz konfigurációs és biztonsági ellenőrzéseket, nem pedig az operációs rendszer szoftveres biztonsági réseit - mondta az ESET.
"Ez a szám jelentős, ha figyelembe vesszük, hogy ezeknek a rendszereknek hozzáférése van jelentős sávszélességhez, tároláshoz, számítási teljesítményhez és memóriához" - mondta az Bureau.
Egy maroknyi rosszindulatú programmal fertőzött szerver sokkal több kárt okozhat, mint a rendes számítógépek nagy botnete. A kiszolgálók általában jobb hardver- és feldolgozóteljesítménnyel rendelkeznek, és gyorsabb hálózati kapcsolatokkal rendelkeznek, mint a végfelhasználói számítógépek. Emlékezzünk arra, hogy a tavalyi évben a banki különféle webhelyek ellen elterjedt, széles körben elosztott szolgáltatásmegtagadási támadások az adatközpontokban lévő fertőzött webszerverekből származtak. Ha a Windigo mögött álló csapat valaha a taktikát váltja át az infrastruktúra használatával a spam és a rosszindulatú programok elterjesztése érdekében, még enyhébb dolgokra, az ebből eredő károk jelentős lehetnek.
