Több tízezer szervert törtek fel az Operation Windigo keretében

Hónapok óta tartó vizsgálatának eredményeit hozta nyilvánosságra az ESET biztonsági cég. A közel 70 oldalas dokumentumban a vállalat kutatói részletesen leírják, hogyan működik az Operation Windigo nevű világméretű akció, amelynek keretében bűnözők az évek során szerverek tízezreit fertőzték meg, hogy rajtuk keresztül kliensekre telepítsenek kártékony kódokat.

A Linux Foundation és a cPanel oldalát is feltörték

Az ESET és a svéd CERT-Bund által publikált részletek szerint a bűnözők Windows, Linux és UNIX operációs rendszert futtató szervereket egyaránt kompromittáltak és több szabad szoftver rendszerét is feltörték, például a cPanel oldalát, valamint a Linux Foundation által üzemeltetett, a legfrissebb Linux rendszermagot tartalmazó www.kernel.org weboldalt. A nyomozás során elsősorban az Egyesült Államokban találtak fertőzött szervereket, de nagy európai országokban (főleg Németországban, Franciaországban, Olaszországban és Nagy-Britanniában) is ezres nagyságrendű volt a kompromittált rendszerek száma.

A bűnözők igen állhatatosak lehettek, a szervereket nem szoftversebezhetőségeken keresztül törték fel, hanem a rendszergazdák mulasztásait használták ki, gyenge jelszavakat és konfigurációs hibákat találtak és "kézzel" csempészték a Linux/Ebury hátsóajtót a rendszerekre. Az ESET minden szerverüzemeltetőnek javasolja a rábízott rendszer alapos vizsgálatát és lehetőleg a kétfaktoros azonosítás bevezetését az adminisztrátorok számára, a hasonló esetek elkerülése érdekében. A kiadott dokumentum részletesen foglalkozik azzal, milyen jelek utalnak egy linuxos szerver fertőzöttségére, így az üzemeltetők megtehetik a szükséges intézkedéseket.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A felhasznált eszközkészlet alapvetően három komponensből állt, írja az ESET. Az egyik ilyen a Linux/Ebury nevű OpenSSH backdoor, amellyel annak idején a Linux Foundation szervereit is megfertőzték. Az Ebury egy Linux, UNIX, BSD és hasonló rendszerekre készült kártevő, amelyet az SSH-n keresztül megadott felhasználói nevek és jelszavak ellopására használnak, illetve rootszintű jogosultsággal a fertőzött gép távoli elérésére. A második fő komponens a Linux/Cdorked HTTP backdoor, amellyel a támadók a webes forgalmat irányítják át a Linux/Onimik segítségével megfertőzött DNS-ek segítségével, közvetetten ezt használják a klienseken kártevők telepítésére is. A harmadik pedig a Prl/Calfbot script, amely reklámlevelek tömeges kiküldésére szolgál.

Spamküldés, kártevőtelepítés, reklámok és pornó

Az Operation Windigót kiagyaló bűnözők, vagy legalábbis az általuk megbízott fejlesztők profik, az ESET szerint a felhasznált kártevők a Linux mély ismeretéről árulkodnak, jól elrejtettek, titkosítottak és könnyen hordozhatók különféle rendszerek között - a HTTP backdoor például Apache, nginx és lighttpd környezetben is működik. A feltört szerverek a Windowst futtató klienseket "drive by download" segítségével próbálják megfertőzni (Win32/Boaxxe.G vagy Win32/Glubteta.M kártevővel), az OS X-ről érkező felhasználókat randioldalak reklámjaival bombázzák, ha pedig valaki iPhone-tól akarta megnyitni a feltört oldalakat, annak a böngészőjét pornóoldalakra irányítják át.

A biztonsági szakértők tippje szerint a támadók összesen mintegy 25 ezer szervert fertőztek meg világszerte és jelenleg is 10 ezer körül lehet az Operation Windigo alatt azoknak a kiszolgálóknak a száma, amely a bűnözői csoport befolyása alatt állnak és kártékony tevékenységet folytatnak. A Windigo által megfertőzött gépek naponta mintegy 35 millió spamet küldenek ki az ESET becslései alapján, emellett félmillió internetezőt irányítanak át a szerverek olyan oldalakra, ahonnan támadó kódot próbálnak meg a gépükre csempészni.