Video: ☝ Настройка ePochta Mailer (email-рассылка и анти-спам фильтры) (Septembra 2024)
Útočníci infikovali a zmocnili sa kontroly nad 25 000 unixovými servermi, aby vytvorili rozsiahlu platformu distribúcie spamu a škodlivého softvéru. Správcovia systémov Linux a Unix musia okamžite skontrolovať, či ich servery patria medzi obete.
Gang za útokovou kampaňou používa infikované servery na odcudzenie poverovacích údajov, distribúciu spamu a škodlivého softvéru a presmerovanie používateľov na škodlivé stránky. Infikované servery posielajú každý deň 35 miliónov spamových správ a každý deň presmerujú pol milióna návštevníkov na škodlivé stránky, uviedol Pierre-Marc Bureau, manažér programu bezpečnostných informácií spoločnosti ESET. Vedci sa domnievajú, že kampaň, ktorá sa nazýva Operation Windigo, za posledné dva a pol roka unesla vyše 25 000 serverov. Skupina má v súčasnosti pod kontrolou 10 000 serverov.
ESET vydal technický dokument s podrobnosťami o kampani a obsahoval jednoduchý príkaz ssh, ktorý môžu správcovia použiť na zistenie, či boli ich servery unesené. Ak k tomu dôjde, mali by správcovia preinštalovať operačný systém na infikovaný server a zmeniť všetky poverenia, ktoré sa kedy použili na prihlásenie do počítača. Od získania poverení od spoločnosti Windigo by správcovia mali prevziať všetky heslá a súkromné kľúče OpenSSH použité na tomto počítači, a preto by mali byť zmenené, upozornilo ESET. Odporúčania sa vzťahujú na správcov Unix aj Linux.
Utieranie počítača a preinštalovanie operačného systému od začiatku môže znieť trochu extrémne, ale vzhľadom na to, že útočníci ukradli poverenia správcu, nainštalovali zadné vrátka a získali vzdialený prístup k serverom, zdá sa, že je potrebné zvoliť jadrovú možnosť.
Útočné prvky
Windigo sa spolieha na kokteil sofistikovaného škodlivého softvéru, ktorý unesie a infikuje servery vrátane Linux / Ebury, backdoor OpenSSH a krádeže poverovacích údajov, ako aj piatich ďalších častí škodlivého softvéru. V priebehu jediného víkendu pozorovali vedci spoločnosti ESET viac ako 1, 1 milióna rôznych IP adries prechádzajúcich infraštruktúrou Windiga, než boli presmerovaní na škodlivé stránky.
Webové stránky, ktoré spoločnosť Windigo ohrozila, zasa infikovali používateľov systému Windows pomocou vykorisťovacej súpravy, ktorá tlačí podvody s klikaním a škodlivý softvér na odosielanie nevyžiadanej pošty, preukázala pochybnosti o zoznamovaní webov pre používateľov počítačov Mac a presmerovala používateľov iPhone na internetové porno stránky. Medzi obeťami patrili známe organizácie ako cPanel a kernel.org, hoci vyčistili svoje systémy.
Medzi operačné systémy, ktorých sa týka komponent spam, patria Linux, FreeBSD, OpenBSD, OS X a dokonca aj Windows.
Rogue servery
Vzhľadom na to, že tri z piatich svetových webových stránok bežia na serveroch Linux, Windigo má veľa potenciálnych obetí, s ktorými si môže zahrať. Zadné dvere používané na ohrozenie serverov boli nainštalované manuálne a využívajú zlé ovládače konfigurácie a zabezpečenia, nie zraniteľné miesta v operačnom systéme, uviedla spoločnosť ESET.
„Toto číslo je významné, ak sa domnievate, že každý z týchto systémov má prístup k značnej šírke pásma, úložnému priestoru, počítačovému výkonu a pamäti, “ uviedol Bureau.
Hrsť serverov infikovaných škodlivým softvérom môže spôsobiť oveľa viac škody ako veľká botnet bežných počítačov. Servery majú vo všeobecnosti lepší hardvér a výkon spracovania a majú rýchlejšie sieťové pripojenie ako počítače koncových používateľov. Pripomeňme, že silné distribuované odmietnutie útokov na rôzne bankové webové stránky minulý rok pochádzalo z infikovaných webových serverov v dátových centrách. Ak tím za Windigom niekedy zmení taktiku z používania infraštruktúry iba na šírenie spamu a škodlivého softvéru na niečo ešte odpornejšie, výsledné poškodenie môže byť značné.
