Windigo захватывает 25 000 серверов для распространения спама и вредоносных программ

По словам ESET, злоумышленники заразили и захватили контроль над более чем 25 000 серверов Unix, создав огромную платформу для распространения спама и вредоносных программ. Администраторы Linux и Unix должны немедленно проверить, находятся ли их серверы среди жертв.

Банда за кампанию атаки использует зараженные серверы для кражи учетных данных, распространения спама и вредоносных программ и перенаправления пользователей на вредоносные сайты. Зараженные серверы ежедневно отправляют 35 миллионов спам-сообщений и перенаправляют полмиллиона посетителей веб-сайтов на вредоносные сайты, заявил Пьер-Марк Бюро, менеджер программы безопасности в ESET. Исследователи полагают, что за последние два с половиной года кампания, получившая название Operation Windigo, захватила более 25 000 серверов. Бюро в настоящее время контролирует 10 000 серверов.

ESET выпустил технический документ с более подробной информацией о кампании и включил в себя простую команду ssh, которую администраторы могут использовать, чтобы выяснить, были ли их серверы взломаны. Если это так, администраторы должны переустановить операционную систему на зараженном сервере и изменить все учетные данные, когда-либо использовавшиеся для входа на компьютер. Поскольку Windigo собирал учетные данные, администраторы должны предполагать, что все пароли и закрытые ключи OpenSSH, используемые на этом компьютере, скомпрометированы и должны быть изменены, предупреждает ESET. Рекомендации относятся как к администраторам Unix, так и к Linux.

Очистка компьютера и переустановка операционной системы с нуля могут показаться немного экстремальными, но, учитывая, что злоумышленники украли учетные данные администратора, установили "черные ходы" и получили удаленный доступ к серверам, использование ядерной опции кажется необходимым.

Элементы атаки

Windigo полагается на смесь сложных вредоносных программ для взлома и заражения серверов, включая Linux / Ebury, бэкдор OpenSSH и похититель учетных данных, а также пять других вредоносных программ. За один уик-энд исследователи ESET наблюдали более 1, 1 миллиона различных IP-адресов, проходящих через инфраструктуру Windigo, прежде чем они были перенаправлены на вредоносные сайты.

Сайты скомпрометированного Windigo в своей очереди, зараженными пользователь Windows, с подвигом набора толкая нажмите мошенничество и спам-рассылку вредоносных программ, показала сомнительные с для сайтов знакомств для пользователей Mac, и перенаправление пользователей картинки на сайты порно. Бюро заявило, что среди жертв были такие известные организации, как cPanel и kernel.org, хотя они и очистили свои системы.

Бюро утверждает, что операционные системы, на которые распространяется компонент спама, включают Linux, FreeBSD, OpenBSD, OS X и даже Windows.

Разбойники

Учитывая, что три из пяти сайтов в мире работают на серверах Linux, у Windigo есть много потенциальных жертв, с которыми можно поиграть. По словам ESET, бэкдор, используемый для компрометации серверов, был установлен вручную и использует плохие настройки и контроль безопасности, а не уязвимости программного обеспечения в операционной системе.

«Это число является значительным, если учесть, что каждая из этих систем имеет доступ к значительной полосе пропускания, хранилищу, вычислительной мощности и памяти», - сказал Бюро.

Горстка зараженных вредоносным ПО серверов может причинить гораздо больше вреда, чем большой ботнет из обычных компьютеров. Серверы, как правило, имеют лучшую аппаратную и вычислительную мощность и имеют более быстрое сетевое соединение, чем компьютеры конечных пользователей Напомним, что мощные распределенные атаки типа «отказ в обслуживании» против различных банковских веб-сайтов в прошлом году исходили от зараженных веб-серверов в центрах обработки данных. Если команда, стоящая за Windigo, когда-либо переключит тактику с простого использования инфраструктуры на распространение спама и вредоносных программ на что-то еще более неприятное, то ущерб может быть значительным.