В России около 800 серверов заражены в ходе "Операции Windigo"


ESET NOD32Компания ESET опубликовала результаты анализа "Операции Windigo" – крупнейшей кибератаки, жертвами которой стали тысячи серверов. Все инфицированные системы используются злоумышленниками для:

  • кражи учетных данных;
  • перенаправления трафика на вредоносный контент;
  • заражения пользователей;
  • рассылки спама.


Предположительное время начала операция Windigo - 2011 год. На протяжении нескольких лет ее организаторы сумели скомпрометировать более 25 тыс. Linux- и UNIX-серверов, а также широкий спектр операционных систем, включая

  • Windows;
  • OS X;
  • OpenBSD;
  • FreeBSD;
  • Linux.


В числе пострадавших от Windigo числятся cPanel и Linux Foundation.

Для получения доступа к серверам авторы Windigo использовали только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин.

На сегодняшний день в мире используется порядка 10 тыс. зараженных серверов. При этом ежедневно на набор эксплойтов перенаправляются свыше 500 тыс. посетителей скомпрометированных сайтов. В случае успешного перенаправления уровень заражения достигает 1%. Windigo отвечает также за рассылку порядка 35 млн. спам-писем в день.

Было установлено, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов. А также то, что для защиты серверов не всегда использовались антивирусные продукты и механизмы двухфакторной аутентификации. В результате, злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей.

Совместными усилиями экспертов из

  • вирусной лаборатории ESET;
  • группы CERT-Bund;
  • исследовательского центра SNIC;
  • организации CERN;
  • других участников международной рабочей группы,

удалось выяснить, что в операции Windigo было задействовано 6 видов вредоносного ПО и сервисов:

  • Linux/Ebury – компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH;

  • Linux/Cdorked – компрометирует веб-серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку, отвечает за заражение вредоносным кодом пользователей Windows;

  • Linux/Onimiki – компрометирует DNS-серверы Linux, отвечает за преобразование доменных имен, совпадающих с определенным шаблоном, в соответствующие IP-адреса;

  • Perl/Calfbot – компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, отвечает за рассылку спама;

  • Win32/Boaxxe.G – используется для организации кликфрода;

  • Win32/Glupteba.M – используется как прокси-сервис для Windows.

Vzaimodeistvie komponents programm i servers

Россия стала одной из стран, с наибольшим количеством атакованных серверов. Так РФ занимает 8-ю строку списка государств, где находятся зараженные Linux/Ebury сервера, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от Perl/Calfbot.

Атакующие по максимуму используют возможности скомпрометированных серверов и пользовательских устройств, запуская на них различное вредоносное ПО – в зависимости от полученного уровня доступа.

Sootnoshenie

В ESET отмечают, что вредоносные программы Windigo разработаны на достаточно высоком уровне. В них используются техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Поэтому, чтобы детектировать заражение сервера, эксперты ESET рекомендуют веб-мастерам и системным администраторам запустить следующую команду:

  • ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

При условии, что система заражена Windigo, то потребуется полная очистка памяти, переустановка операционной системы и всего программного обеспечения. Необходимо также сменить все используемые пароли и ключи, поскольку существующие учетные данные могут быть скомпрометированы.


Обновлено (29.08.2016 09:57)