Видео: G2 vs Windigo - ESL Pro League - BEST MOMENTS | CSGO (Септември 2024)
Атакуващите заразиха и иззеха контрола над над 25 000 Unix сървъра, за да създадат масивна платформа за разпространение на спам и зловреден софтуер, заяви ESET. Администраторите на Linux и Unix трябва незабавно да проверят дали сървърите им са сред жертвите.
Бандата, която стои зад атаката, използва заразените сървъри, за да открадне идентификационни данни, да разпространява спам и зловреден софтуер и да пренасочва потребителите към злонамерени сайтове. Заразените сървъри изпращат 35 милиона спам съобщения всеки ден и пренасочват половин милион уеб посетители към злонамерени сайтове всеки ден, заяви Пиер-Марк Бюро, мениджър на програмата за разузнаване на сигурността в ESET. Изследователите смятат, че кампанията, наречена операция Windigo, е отвлекла над 25 000 сървъра през последните две години и половина. В момента групата има 10 000 сървъра под техен контрол, съобщи Бюро.
ESET пусна технически документ с повече подробности за кампанията и включи проста ssh команда, която администраторите могат да използват, за да разберат дали техните сървъри са били отвлечени. Ако случаят е такъв, администраторите трябва да инсталират отново операционната система на заразения сървър и да променят всички идентификационни данни, използвани някога за влизане в машината. Тъй като Windigo събира идентификационни данни, администраторите трябва да приемат всички пароли и частни ключове на OpenSSH, използвани на тази машина, са компрометирани и трябва да бъдат променени, предупреди ESET. Препоръките се отнасят както за Unix, така и за Linux администратори.
Изтриването на машината и повторното инсталиране на операционната система отначало може да звучи малко екстремно, но като се има предвид, че нападателите са откраднали идентификационни данни на администратора, инсталирани на заден план и са получили отдалечен достъп до сървърите, като ядрената опция изглежда необходима.
Атака елементи
Windigo разчита на коктейл от сложен злонамерен софтуер за отвличане и заразяване на сървърите, включително Linux / Ebury, бекстейдж на OpenSSH и доверителен крадец, както и пет други парчета злонамерен софтуер. В рамките на един уикенд изследователите на ESET наблюдаваха повече от 1, 1 милиона различни IP адреси, минаващи през инфраструктурата на Windigo, преди да бъдат пренасочени към злонамерени сайтове.
Уебсайтове, компрометирани от Windigo, от своя страна заразени потребители на Windows с експлоатационен комплект, натискащ измама с клик и злонамерен софтуер, изпращащ спам, показаха съмнителни сайтове за запознанства с потребители на Mac и пренасочиха потребителите на iPhone към онлайн порно сайтове. Известни организации като cPanel и kernel.org бяха сред жертвите, въпреки че са почистили системите си, заяви Бюро.
Операционните системи, засегнати от спам компонента, включват Linux, FreeBSD, OpenBSD, OS X и дори Windows, заяви Бюро.
Rogue сървъри
Имайки предвид, че три от пет от уебсайтовете в света работят на Linux сървъри, Windigo има много потенциални жертви, с които да играе. Задната врата, използвана за компрометиране на сървърите, е инсталирана ръчно и използва лоша конфигурация и контрол на сигурността, а не софтуерни уязвимости в операционната система, заяви ESET.
„Този брой е важен, ако вземете предвид, че всяка от тези системи има достъп до значителна честотна лента, съхранение, изчислителна мощност и памет“, заяви Бюро.
Шепа сървъри, заразени със злонамерен софтуер, могат да причинят много повече вреди, отколкото голям ботнет от обикновени компютри. По принцип сървърите имат по-добра хардуерна и обработваща мощност и имат по-бързи мрежови връзки от компютрите на крайните потребители. Спомнете си, че през миналата година мощният разпространен отказ за атаки на услуги срещу различни банкови уебсайтове произхожда от заразени уеб сървъри в центрове за данни. Ако екипът, който стои зад Windigo, някога превключва тактиката от просто използване на инфраструктурата за разпространение на спам и зловреден софтуер към нещо, дори по-неприятно, получените щети могат да бъдат значителни.
