Відео: unboxing turtles slime surprise toys learn colors (Листопад 2024)
Зловмисники заразили та захопили контроль над 25 000 серверами Unix, щоб створити широку платформу поширення спаму та зловмисного програмного забезпечення, повідомляє ESET. Адміністраторам Linux та Unix потрібно негайно перевірити, чи є їхні сервери серед жертв.
Банда, що стоїть за кампанію атаки, використовує заражені сервери для крадіжки облікових даних, розповсюдження спаму та зловмисного програмного забезпечення та перенаправлення користувачів на шкідливі сайти. Заражені сервери щодня надсилають 35 мільйонів спам-повідомлень та перенаправляють півмільйона веб-відвідувачів на шкідливі веб-сайти щодня, заявив П’єр-Марк Бюро, керівник програми розвідки з безпеки ESET. Дослідники вважають, що кампанія, яка отримала назву "Операція Віндіго", за останні два з половиною роки викрала понад 25 000 серверів. В даний час група має під своїм контролем 10 000 серверів, повідомляє Бюро.
ESET випустив технічний документ з детальнішою інформацією про кампанію та включив просту команду ssh, яку адміністратори можуть використовувати, щоб з'ясувати, чи були викрадені їх сервери. Якщо це трапляється так, адміністраторам слід заново встановити операційну систему на зараженому сервері та змінити всі облікові дані, які колись використовувалися для входу в машину. Оскільки Windigo збирає облікові дані, адміністратори повинні вважати, що всі паролі та приватні ключі OpenSSH, які використовуються на цій машині, порушені та повинні бути змінені, попередив ESET. Рекомендації стосуються адміністраторів Unix та Linux.
Витирання машини та перевстановлення операційної системи з нуля може здатися трохи екстремальним, але враховуючи, що зловмисники викрали облікові дані адміністратора, встановили на задньому плані та отримали віддалений доступ до серверів, вважаючи, що ядерний варіант видається необхідним.
Стихійні елементи
Віндіго покладається на коктейль із складних шкідливих програм для викрадення та зараження серверів, включаючи Linux / Ebury, бекстейдж OpenSSH та авторитетні крадіжки, а також п’ять інших зловмисних програм. Протягом одного вихідного дня дослідники ESET спостерігали понад 1, 1 мільйона різних IP-адрес, що проходили через інфраструктуру Windigo, перш ніж перенаправлятися на шкідливі сайти.
Веб-сайти, компрометовані Windigo, в свою чергу заразили користувачів Windows, використовуючи набір для експлуатації, що підштовхує шахрайство із натисканням та зловмисним програмним забезпеченням, показує сумнівну інформацію про сайти знайомств для користувачів Mac та перенаправляє користувачів iPhone на веб-сайти порно. Відомі організації, такі як cPanel і kernel.org, були серед постраждалих, хоча вони очистили свої системи, повідомили в Бюро.
Операційні системи, на які впливає спам-компонент, включають Linux, FreeBSD, OpenBSD, OS X і навіть Windows, повідомляє Бюро.
Негідні сервери
Враховуючи, що три з п'яти світових веб-сайтів працюють на серверах Linux, Windigo має багато потенційних жертв, з якими можна грати. ESET, який використовується для компрометації серверів, встановлювався вручну і використовує погану конфігурацію та контроль безпеки, а не вразливості програмного забезпечення в операційній системі, заявив ESET.
"Це число є значущим, якщо врахувати, що кожна з цих систем має доступ до значної пропускної здатності, накопичувача, обчислювальної потужності та пам'яті", - сказали в Бюро.
Кілька серверів, заражених зловмисним програмним забезпеченням, можуть завдати набагато більше шкоди, ніж великий ботнет звичайних комп'ютерів. Зазвичай сервери мають кращу апаратну та процесорну потужність і мають швидші мережеві з'єднання, ніж комп'ютери кінцевих користувачів. Нагадаємо, що минулого року потужне розповсюдження відмов у сервісних атаках на різні банківські веб-сайти відбувалося із заражених веб-серверів у центрах обробки даних. Якщо команда Windigo коли-небудь перемикає тактику з просто використання інфраструктури для розповсюдження спаму та зловмисного програмного забезпечення на щось навіть більш небезпечне, отриманий збиток може бути значним.