Video: 50 REAL Sightings of the Wendigo (Lokakuu 2024)
Hyökkääjät tarttuivat ja tarttuivat yli 25 000 Unix-palvelimen hallintaan luodakseen massiivisen roskapostin ja haittaohjelmien jakelualustan, ESET kertoi. Linuxin ja Unixin järjestelmänvalvojien on tarkistettava välittömästi, ovatko heidän palvelimensa uhreja.
Hyökkäyskampanjan takana oleva jengi tartunnan saaneet palvelimet varastaa käyttöoikeustiedot, levittää roskapostia ja haittaohjelmia sekä ohjata käyttäjiä haitallisille sivustoille. Tartunnan saaneet palvelimet lähettävät päivittäin 35 miljoonaa roskapostia ja ohjaavat puolet miljoona kävijää haitallisille sivustoille päivittäin, kertoi ESET: n tietotekniikkaohjelman johtaja Pierre-Marc Bureau. Tutkijoiden mielestä operaatio Windigo -kampanja on kaapattu yli 25 000 palvelinta viimeisen kahden ja puolen vuoden aikana. Ryhmällä on tällä hetkellä hallussaan 10 000 palvelinta, Bureau sanoi.
ESET julkaisi teknisen paperin, joka sisälsi lisätietoja kampanjasta, ja sisälsi yksinkertaisen ssh-komennon, jonka avulla järjestelmänvalvojat voivat selvittää, onko heidän palvelimet kaapattu. Jos näin käy, järjestelmänvalvojien on asennettava käyttöjärjestelmä uudelleen tartunnan saaneelle palvelimelle ja vaihdettava kaikki koneeseen kirjautumiseen käytetyt käyttöoikeustiedot. Koska Windigo on kerännyt käyttöoikeustiedot, järjestelmänvalvojien tulee olettaa, että kaikki koneessa käytetyt salasanat ja yksityiset OpenSSH-avaimet ovat vaarantuneet ja ne olisi vaihdettava, ESET varoitti. Suositukset koskevat sekä Unix- että Linux-järjestelmänvalvojia.
Koneen pyyhkiminen ja käyttöjärjestelmän asentaminen uudelleen tyhjästä saattaa kuulostaa hiukan äärimmäiseltä, mutta ottaen huomioon, että hyökkääjät olivat varastaneet järjestelmänvalvojan valtuudet, asentaneet takaoviin ja olleet saaneet etäkäytön palvelimille, ydinasetuksen valinta vaikuttaa tarpeelliselta.
Attack Elements
Windigo luottaa palvelimien kaappaamiseen ja tartuttamiseen hienostuneiden haittaohjelmien cocktailiin, mukaan lukien Linux / Ebury, OpenSSH-takaovi ja käyttöoikeuksien varastaja sekä viisi muuta haittaohjelmien osaa. Yhden viikonlopun aikana ESET-tutkijat havaitsivat yli 1, 1 miljoonaa erilaista IP-osoitetta, jotka kulkivat Windigon infrastruktuurin läpi ennen ohjaamista haitallisille sivustoille.
Windigon vaarantomat verkkosivustot tartunnan saaneet Windows-käyttäjät tarttuivat hyökkäyspaketilla, joka työntää napsautuspetoksia ja roskapostin lähettämistä haittaohjelmia, osoitti kyseenalaisia sivustoja treffisivustoille Mac-käyttäjille ja ohjasi iPhonen käyttäjät online-pornosivustoille. Uhrien joukossa oli tunnettuja organisaatioita, kuten cPanel ja kernel.org, vaikka ne ovatkin puhdistaneet järjestelmiään, Bureau sanoi.
Roskapostikomponentti vaikuttaa käyttöjärjestelmiin Linux, FreeBSD, OpenBSD, OS X ja jopa Windows, Bureau sanoi.
Rogue palvelimet
Kun otetaan huomioon, että kolme viidestä maailman verkkosivustosta toimii Linux-palvelimilla, Windigolla on paljon potentiaalisia uhreja pelata. Palvelimien vaarantamiseksi käytetty takaovi asennettiin manuaalisesti, ja siinä hyödynnetään huonoja kokoonpano- ja tietoturvaohjauksia, ei käyttöjärjestelmän ohjelmistoheikkouksia, ESET kertoi.
"Tämä luku on merkittävä, jos otetaan huomioon, että jokaisella näistä järjestelmistä on pääsy merkittävään kaistanleveyteen, tallennustilaan, laskentatehoon ja muistiin", sanoi Bureau.
Kourallinen haittaohjelmista tartunnan saaneita palvelimia voi aiheuttaa paljon enemmän haittaa kuin tavallisten tietokoneiden suuri bottiverkko. Palvelimilla on yleensä parempi laitteisto- ja prosessointiteho, ja verkkoyhteydet ovat nopeampia kuin loppukäyttäjien tietokoneilla. Muista, että viime vuonna voimakkaasti hajautetut palvelunestohyökkäykset eri pankkisivustoille olivat peräisin tartunnan saaneista verkkopalvelimista tietokeskuksissa. Jos Windigon takana oleva joukkue vaihtaa taktiikan pelkästään infrastruktuurin käytöstä roskapostin ja haittaohjelmien levittämiseksi jotain jopa räikeämpää, seurauksena oleva vahinko voi olla merkittävä.
