Windigo detestă 25.000 de servere pentru a genera spam, malware

Atacatorii au infectat și au confiscat controlul a peste 25.000 de servere Unix pentru a crea o platformă masivă de distribuție de spam și malware, a spus ESET. Administratorii Linux și Unix trebuie să verifice imediat dacă serverele lor sunt printre victime.

Trupa din spatele campaniei de atac folosește serverele infectate pentru a fura datele de acreditare, a distribui spam și malware, și a redirecționa utilizatorii către site-uri dăunătoare. Serverele infectate trimit 35 de milioane de mesaje spam în fiecare zi și redirecționează zilnic o jumătate de milion de vizitatori către site-uri dăunătoare, a declarat Pierre-Marc Bureau, un manager de programe de securitate la ESET. Cercetătorii cred că campania, denumită Operația Windigo, a deturnat peste 25.000 de servere în ultimii doi ani și jumătate. Grupul are în prezent 10.000 de servere sub controlul lor, a spus Biroul.

ESET a lansat o lucrare tehnică cu mai multe detalii despre campanie și a inclus o simplă comandă ssh pe care administratorii o pot folosi pentru a afla dacă serverele lor au fost deturnate. În cazul în care acest lucru se întâmplă, administratorii ar trebui să reinstaleze sistemul de operare pe serverul infectat și să schimbe toate datele de acreditare folosite vreodată pentru a se conecta la mașină. Având în vedere că Windigo a recoltat acreditările, administratorii ar trebui să-și asume toate parolele și cheile private OpenSSH utilizate pe acest aparat sunt compromise și ar trebui schimbate, a avertizat ESET. Recomandările se aplică atât administratorilor Unix, cât și Linux.

Ștergerea mașinii și reinstalarea sistemului de operare de la zero poate suna puțin extrem, dar având în vedere că atacatorii au furat acreditările de administrator, au instalat în aer liber și au obținut acces la distanță la servere, luând opțiunea nucleară pare necesar.

Elemente de atac

Windigo se bazează pe un cocktail de malware sofisticat pentru a deturna și a infecta serverele, inclusiv Linux / Ebury, un backdoor OpenSSH și un stealer de acreditare, precum și alte cinci bucăți de malware. Pe parcursul unui singur weekend, cercetătorii ESET au observat peste 1, 1 milioane de adrese IP diferite care trec prin infrastructura Windigo înainte de a fi redirecționate către site-uri dăunătoare.

Site-urile compromise de Windigo, la rândul lor, au infectat utilizatorii Windows cu un kit de exploatare care împinge fraude de clic și malware trimiterea de spam, au arătat s discutabile pentru site-uri de întâlnire către utilizatorii Mac și au redirecționat utilizatorii iPhone către site-uri porno online. Organizații cunoscute precum cPanel și kernel.org au fost printre victime, deși și-au curățat sistemele, a spus Biroul.

Sistemul de operare afectat de componenta spam include Linux, FreeBSD, OpenBSD, OS X și chiar Windows, a spus Biroul.

Servere Rogue

Având în vedere că trei din cinci dintre site-urile web ale lumii rulează pe servere Linux, Windigo are o mulțime de victime potențiale cu care să se joace. Backdoor folosit pentru a compromite serverele a fost instalat manual și exploatează controale de configurare și securitate slabe, nu vulnerabilități ale software-ului în sistemul de operare, a spus ESET.

"Acest număr este semnificativ dacă considerați că fiecare dintre aceste sisteme are acces la lățime de bandă semnificativă, stocare, putere de calcul și memorie", a spus Biroul.

O mână de servere infectate cu malware poate provoca mult mai mult rău decât o botnet mare de computere obișnuite. În general, serverele au o putere hardware și de procesare mai bună și au conexiuni de rețea mai rapide decât computerele utilizatorilor finali. Reamintim că puternica denegare distribuită a atacurilor de servicii împotriva diferitelor site-uri web bancare a avut loc anul trecut din serverele Web infectate din centrele de date. Dacă echipa din spatele Windigo schimbă vreodată tactica de la utilizarea doar a infrastructurii pentru a răspândi spam și malware la ceva chiar mai nasol, daunele rezultate ar putea fi semnificative.