Szerző: Bodnár Ádám

2014. március 19. 12:12:00

Több tízezer szervert törtek fel az Operation Windigo keretében

Világszerte szerverek tízezreit kompromittálták az "Operation Windigo" keretében, adta hírül friss kutatásában az ESET biztonsági cég. A vállalat szerint a támadók legalább 2011 óta dolgoztak, és számos szabad szoftver weboldalát megfertőzték, hogy felhasználói azonosítókat lopjanak, spamet terjesszenek és további gépeket kompromittáljanak.

Hónapok óta tartó vizsgálatának eredményeit hozta nyilvánosságra az ESET biztonsági cég. A közel 70 oldalas dokumentumban a vállalat kutatói részletesen leírják, hogyan működik az Operation Windigo nevű világméretű akció, amelynek keretében bűnözők az évek során szerverek tízezreit fertőzték meg, hogy rajtuk keresztül kliensekre telepítsenek kártékony kódokat.

A Linux Foundation és a cPanel oldalát is feltörték

Az ESET és a svéd CERT-Bund által publikált részletek szerint a bűnözők Windows, Linux és UNIX operációs rendszert futtató szervereket egyaránt kompromittáltak és több szabad szoftver rendszerét is feltörték, például a cPanel oldalát, valamint a Linux Foundation által üzemeltetett, a legfrissebb Linux rendszermagot tartalmazó www.kernel.org weboldalt. A nyomozás során elsősorban az Egyesült Államokban találtak fertőzött szervereket, de nagy európai országokban (főleg Németországban, Franciaországban, Olaszországban és Nagy-Britanniában) is ezres nagyságrendű volt a kompromittált rendszerek száma.

A bűnözők igen állhatatosak lehettek, a szervereket nem szoftversebezhetőségeken keresztül törték fel, hanem a rendszergazdák mulasztásait használták ki, gyenge jelszavakat és konfigurációs hibákat találtak és "kézzel" csempészték a Linux/Ebury hátsóajtót a rendszerekre. Az ESET minden szerverüzemeltetőnek javasolja a rábízott rendszer alapos vizsgálatát és lehetőleg a kétfaktoros azonosítás bevezetését az adminisztrátorok számára, a hasonló esetek elkerülése érdekében. A kiadott dokumentum részletesen foglalkozik azzal, milyen jelek utalnak egy linuxos szerver fertőzöttségére, így az üzemeltetők megtehetik a szükséges intézkedéseket.

Hét kedvenc előadónk az idei HWSW mobile!-ról (x) 90 fős előadó lesz a konferencián, segítve az eligazodást, kiemeltük neked a hét kedvencünket.

A felhasznált eszközkészlet alapvetően három komponensből állt, írja az ESET. Az egyik ilyen a Linux/Ebury nevű OpenSSH backdoor, amellyel annak idején a Linux Foundation szervereit is megfertőzték. Az Ebury egy Linux, UNIX, BSD és hasonló rendszerekre készült kártevő, amelyet az SSH-n keresztül megadott felhasználói nevek és jelszavak ellopására használnak, illetve rootszintű jogosultsággal a fertőzött gép távoli elérésére. A második fő komponens a Linux/Cdorked HTTP backdoor, amellyel a támadók a webes forgalmat irányítják át a Linux/Onimik segítségével megfertőzött DNS-ek segítségével, közvetetten ezt használják a klienseken kártevők telepítésére is. A harmadik pedig a Prl/Calfbot script, amely reklámlevelek tömeges kiküldésére szolgál.

Spamküldés, kártevőtelepítés, reklámok és pornó

Az Operation Windigót kiagyaló bűnözők, vagy legalábbis az általuk megbízott fejlesztők profik, az ESET szerint a felhasznált kártevők a Linux mély ismeretéről árulkodnak, jól elrejtettek, titkosítottak és könnyen hordozhatók különféle rendszerek között - a HTTP backdoor például Apache, nginx és lighttpd környezetben is működik. A feltört szerverek a Windowst futtató klienseket "drive by download" segítségével próbálják megfertőzni (Win32/Boaxxe.G vagy Win32/Glubteta.M kártevővel), az OS X-ről érkező felhasználókat randioldalak reklámjaival bombázzák, ha pedig valaki iPhone-tól akarta megnyitni a feltört oldalakat, annak a böngészőjét pornóoldalakra irányítják át.

A biztonsági szakértők tippje szerint a támadók összesen mintegy 25 ezer szervert fertőztek meg világszerte és jelenleg is 10 ezer körül lehet az Operation Windigo alatt azoknak a kiszolgálóknak a száma, amely a bűnözői csoport befolyása alatt állnak és kártékony tevékenységet folytatnak. A Windigo által megfertőzött gépek naponta mintegy 35 millió spamet küldenek ki az ESET becslései alapján, emellett félmillió internetezőt irányítanak át a szerverek olyan oldalakra, ahonnan támadó kódot próbálnak meg a gépükre csempészni.

a címlapról

Hirdetés

Hét kedvenc előadónk az idei HWSW mobile!-ról

2019. november 21. 00:10

Idén 90 fős előadói gárdával készülünk a HWSW mobile! digitális termékfejlesztési konferenciára, de hogy segítsünk az eligazodásban, kiemeltük neked a hét kedvencünket.