Video: The Truth about Malware and Linux (September 2024)
Angripare infekterade och grep kontroll över över 25 000 Unix-servrar för att skapa en massiv plattform för skräppost och skadlig programvara, sa ESET. Linux- och Unix-administratörer måste omedelbart kontrollera om deras servrar är bland offren.
Gänget bakom attackkampanjen använder de infekterade servrarna för att stjäla referenser, distribuera skräppost och skadlig kod och omdirigera användare till skadliga webbplatser. De infekterade servrarna skickar 35 miljoner spam-meddelanden varje dag och omdirigerar en halv miljon webbbesökare till skadliga webbplatser dagligen, säger Pierre-Marc Bureau, chef för säkerhetsintelligensprogram på ESET. Forskarna tror att kampanjen, kallad Operation Windigo, har kapat över 25 000 servrar under de senaste två och ett halvt åren. Gruppen har för närvarande 10 000 servrar under deras kontroll, sade Bureau.
ESET släppte ett tekniskt papper med mer information om kampanjen och inkluderade ett enkelt ssh-kommando som administratörer kan använda för att ta reda på om deras servrar har kapats. Om så är fallet, bör administratörer installera om operativsystemet på den infekterade servern och ändra alla referenser som någonsin har använts för att logga in på maskinen. Eftersom Windigo skördade referenser bör administratörer anta att alla lösenord och privata OpenSSH-nycklar som används på den maskinen komprometteras och bör ändras, varnade ESET. Rekommendationerna gäller både för Unix och Linux-administratörer.
Att torka av maskinen och installera om operativsystemet från grunden kanske låter lite extremt, men med tanke på att angriparna hade stulit administratörsuppgifter, installerat bakdörrar och fått fjärråtkomst till servrarna, verkar det nödvändigt att ta kärnkraftsalternativet.
Attackelement
Windigo förlitar sig på en cocktail av sofistikerad skadlig programvara för att kapa och infektera servrarna, inklusive Linux / Ebury, en OpenSSH-bakdörr och referensstealer, samt fem andra delar av skadlig programvara. Under en enda helg observerade ESET-forskare mer än 1, 1 miljoner olika IP-adresser som passerade genom Windigos infrastruktur innan de omdirigerades till skadliga webbplatser.
Webbplatser som kompromitterats av Windigo i sin tur infekterade Windows-användare med ett exploit-kit som driver klickbedrägeri och skräppost-skickande skadlig programvara, visade tvivelaktiga s för datingsidor till Mac-användare och omdirigerade iPhone-användare till porrwebbplatser online. Kända organisationer som cPanel och kernel.org var bland offren, även om de har rengjort sina system, säger Bureau.
Operativsystem som påverkas av skräppostkomponenten inkluderar Linux, FreeBSD, OpenBSD, OS X och till och med Windows, säger Bureau.
Rogue servrar
Med tanke på att tre av fem av världens webbplatser körs på Linux-servrar har Windigo gott om potentiella offer att spela med. Bakdörren som användes för att kompromissa med servrarna installerades manuellt och utnyttjar dålig konfiguration och säkerhetskontroller, inte mjukvarulösheter i operativsystemet, säger ESET.
"Detta antal är betydande om du anser att vart och ett av dessa system har tillgång till betydande bandbredd, lagring, datorkraft och minne, " sade presidiet.
En handfull malware-infekterade servrar kan orsaka mycket större skada än ett stort botnet av vanliga datorer. Servrar har i allmänhet bättre hårdvara och processorkraft och har snabbare nätverksanslutningar än slutanvändardatorer. Kom ihåg att de kraftfulla distribuerade attackerna mot avslag på tjänster mot olika bankwebbplatser förra året härstammade från infekterade webbservrar i datacentra. Om teamet bakom Windigo någonsin byter taktik från att bara använda infrastrukturen för att sprida skräppost och skadlig programvara till något ännu mer otäckt, kan den resulterande skadan bli betydande.
