Szerző: Bodnár Ádám

2014. március 19. 12:12

Több tízezer szervert törtek fel az Operation Windigo keretében

Világszerte szerverek tízezreit kompromittálták az "Operation Windigo" keretében, adta hírül friss kutatásában az ESET biztonsági cég. A vállalat szerint a támadók legalább 2011 óta dolgoztak, és számos szabad szoftver weboldalát megfertőzték, hogy felhasználói azonosítókat lopjanak, spamet terjesszenek és további gépeket kompromittáljanak.

Hónapok óta tartó vizsgálatának eredményeit hozta nyilvánosságra az ESET biztonsági cég. A közel 70 oldalas dokumentumban a vállalat kutatói részletesen leírják, hogyan működik az Operation Windigo nevű világméretű akció, amelynek keretében bűnözők az évek során szerverek tízezreit fertőzték meg, hogy rajtuk keresztül kliensekre telepítsenek kártékony kódokat.

A Linux Foundation és a cPanel oldalát is feltörték

Az ESET és a svéd CERT-Bund által publikált részletek szerint a bűnözők Windows, Linux és UNIX operációs rendszert futtató szervereket egyaránt kompromittáltak és több szabad szoftver rendszerét is feltörték, például a cPanel oldalát, valamint a Linux Foundation által üzemeltetett, a legfrissebb Linux rendszermagot tartalmazó www.kernel.org weboldalt. A nyomozás során elsősorban az Egyesült Államokban találtak fertőzött szervereket, de nagy európai országokban (főleg Németországban, Franciaországban, Olaszországban és Nagy-Britanniában) is ezres nagyságrendű volt a kompromittált rendszerek száma.

A bűnözők igen állhatatosak lehettek, a szervereket nem szoftversebezhetőségeken keresztül törték fel, hanem a rendszergazdák mulasztásait használták ki, gyenge jelszavakat és konfigurációs hibákat találtak és "kézzel" csempészték a Linux/Ebury hátsóajtót a rendszerekre. Az ESET minden szerverüzemeltetőnek javasolja a rábízott rendszer alapos vizsgálatát és lehetőleg a kétfaktoros azonosítás bevezetését az adminisztrátorok számára, a hasonló esetek elkerülése érdekében. A kiadott dokumentum részletesen foglalkozik azzal, milyen jelek utalnak egy linuxos szerver fertőzöttségére, így az üzemeltetők megtehetik a szükséges intézkedéseket.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A felhasznált eszközkészlet alapvetően három komponensből állt, írja az ESET. Az egyik ilyen a Linux/Ebury nevű OpenSSH backdoor, amellyel annak idején a Linux Foundation szervereit is megfertőzték. Az Ebury egy Linux, UNIX, BSD és hasonló rendszerekre készült kártevő, amelyet az SSH-n keresztül megadott felhasználói nevek és jelszavak ellopására használnak, illetve rootszintű jogosultsággal a fertőzött gép távoli elérésére. A második fő komponens a Linux/Cdorked HTTP backdoor, amellyel a támadók a webes forgalmat irányítják át a Linux/Onimik segítségével megfertőzött DNS-ek segítségével, közvetetten ezt használják a klienseken kártevők telepítésére is. A harmadik pedig a Prl/Calfbot script, amely reklámlevelek tömeges kiküldésére szolgál.

Spamküldés, kártevőtelepítés, reklámok és pornó

Az Operation Windigót kiagyaló bűnözők, vagy legalábbis az általuk megbízott fejlesztők profik, az ESET szerint a felhasznált kártevők a Linux mély ismeretéről árulkodnak, jól elrejtettek, titkosítottak és könnyen hordozhatók különféle rendszerek között - a HTTP backdoor például Apache, nginx és lighttpd környezetben is működik. A feltört szerverek a Windowst futtató klienseket "drive by download" segítségével próbálják megfertőzni (Win32/Boaxxe.G vagy Win32/Glubteta.M kártevővel), az OS X-ről érkező felhasználókat randioldalak reklámjaival bombázzák, ha pedig valaki iPhone-tól akarta megnyitni a feltört oldalakat, annak a böngészőjét pornóoldalakra irányítják át.

A biztonsági szakértők tippje szerint a támadók összesen mintegy 25 ezer szervert fertőztek meg világszerte és jelenleg is 10 ezer körül lehet az Operation Windigo alatt azoknak a kiszolgálóknak a száma, amely a bűnözői csoport befolyása alatt állnak és kártékony tevékenységet folytatnak. A Windigo által megfertőzött gépek naponta mintegy 35 millió spamet küldenek ki az ESET becslései alapján, emellett félmillió internetezőt irányítanak át a szerverek olyan oldalakra, ahonnan támadó kódot próbálnak meg a gépükre csempészni.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról