Video: Luftvägsstopp Barn (Oktober 2024)
Angripere infiserte og grep kontrollen over over 25 000 Unix-servere for å lage en massiv distribusjonsplattform for spam og malware, sa ESET. Linux- og Unix-administratorer må umiddelbart sjekke om serverne deres er blant ofrene.
Gjengen bak angrepskampanjen bruker de infiserte serverne til å stjele legitimasjon, distribuere spam og malware og omdirigere brukere til ondsinnede nettsteder. De infiserte serverne sender 35 millioner spam-meldinger hver dag, og omdirigerer en halv million besøkende til ondsinnede nettsteder daglig, sa Pierre-Marc Bureau, en programleder for sikkerhetsintelligens i ESET. Forskerne mener kampanjen, kalt Operation Windigo, har kapret over 25 000 servere de siste to og et halvt årene. Gruppen har for tiden 10.000 servere under deres kontroll, sa Bureau.
ESET ga ut en teknisk artikkel med flere detaljer om kampanjen, og inkluderte en enkel ssh-kommando som administratorer kan bruke for å finne ut om serverne deres er kapret. Hvis det skjer, bør administratorer installere operativsystemet på den infiserte serveren og endre all legitimasjon som noen gang er brukt for å logge på maskinen. Siden Windigo høstet legitimasjon, bør administratorer anta at alle passord og private OpenSSH-nøkler som brukes på den maskinen er kompromittert og bør endres, advarte ESET. Anbefalingene gjelder både Unix og Linux-administratorer.
Å tørke av maskinen og installere operativsystemet fra bunnen av høres kanskje litt ekstremt ut, men med tanke på at angriperne hadde stjålet administratorbevis, installert bakdører og fått fjernadgang til serverne, virker det å ta det kjernefysiske alternativet.
Angrep elementer
Windigo er avhengig av en cocktail av sofistikert skadelig programvare for å kapre og infisere serverne, inkludert Linux / Ebury, en OpenSSH-bakdør og legitimasjonsstiler, samt fem andre stykker malware. I løpet av en eneste helg observerte ESET-forskere mer enn 1, 1 millioner forskjellige IP-adresser som passerte gjennom Windigos infrastruktur før de ble omdirigert til ondsinnede nettsteder.
Nettsteder kompromittert av Windigo på sin side infiserte Windows-brukere med et utnyttelsessett som presset klikksvindel og spam-sendende malware, viste tvilsomme s for datingsider til Mac-brukere, og omdirigerte iPhone-brukere til online pornosider. Kjente organisasjoner som cPanel og kernel.org var blant ofrene, selv om de har renset systemene sine, sa Bureau.
Operativsystemer som er berørt av spamkomponenten inkluderer Linux, FreeBSD, OpenBSD, OS X og til og med Windows, sa Bureau.
Rogue servere
Tatt i betraktning at tre av fem av verdens nettsteder kjører på Linux-servere, har Windigo mange potensielle ofre å leke med. Bakdøren som ble brukt til å kompromittere serverne, ble installert manuelt og utnytter dårlig konfigurasjons- og sikkerhetskontroll, ikke programvaresårbarheter i operativsystemet, sier ESET.
"Dette tallet er betydelig hvis du vurderer at hvert av disse systemene har tilgang til betydelig båndbredde, lagring, datakraft og minne, " sa Bureau.
En håndfull malware-infiserte servere kan forårsake mye mer skade enn et stort botnet med vanlige datamaskiner. Servere har vanligvis bedre maskinvare og prosessorkraft, og har raskere nettverkstilkoblinger enn sluttbrukermaskiner. Husk at de kraftige distribuerte angrepene mot nektelse av tjenester mot forskjellige banknettsteder i fjor stammet fra infiserte webservere i datasentre. Hvis teamet bak Windigo noensinne bytter taktikk fra å bare bruke infrastrukturen for å spre spam og malware til noe enda nemmere, kan den resulterende skaden være betydelig.
