March 18, 2014 | Bratislava

OPERATION WINDIGO: Malware gebruikt om dagelijks meer dan 500,000 computers aan te vallen, nadat 25,000 UNIX Servers gehijacked waren door Backdoor Trojans

Security experts van ESET® hebben samen met CERT-Bund en andere agentschappen een wijdverspreide cybercrime campagne blootgelegd. De aanval, door onderzoekers tot “Operatie Windigo” gedoopt, heeft geresulteerd in geïnfecteerde servers die miljoenen spamberichten versturen.

De complexe opbouw van geavanceerde malware componenten zijn ontworpen om servers te kapen, bezoekende computers te infecteren, informatie te stelen en eigen gekozen advertenties te tonen.

Slachtoffers van Operation Windigo waren onder andere cPanel en kernel.org

 

OPERATION WINDIGO: Al meer dan 3 jaar onopgemerkt actief 
De Windigo operatie wordt al jaren gevoerd. We denken dat het primaire doel van deze belangrijke inspanning geldelijk gewin is, primair door de volgende acties:
• Het versturen van spam
• Infecteren van computers via drive-by downloads
• Omleiden van webverkeer naar advertentienetwerken

 

Slachtoffers van Operatie Windigo waren onder andere cPanel en kernel.org

De volgende afbeelding toont een beeld van de Windigo operatie.

 

Waar Windows gebruikers worden doorgestuurd naar malware infecterende sites is het opvallend dat Mac gebruikers worden omgeleid naar dating sites en iPhone gebruikers zelfs naar pornografische content.

 

Hoe kunt u zien of uw server besmet is?

De onderzoekers van ESET vragen beheerders het onderstaande commando uit te voeren om te controleren of hun server gecompromitteerd is of niet:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"


 

ESET's security research team dat Windigo heeft ontdekt heeft, publiceert vandaag een gedetailleerd onderzoeksrapport waarin de ontdekkingen van het team en de malware-analyses gepresenteerd worden. Het rapport biedt ook een leidraad om te onderzoeken of eigen servers besmet zijn geraakt en geeft instructies voor het verwijderen van de kwaadaardige code.

Een oproep aan systeembeheerders wereldwijd om actie te ondernemen tegen Windigo
Meer dan 60% van websites wereldwijd worden gehost op Linux servers. Daarom doen de onderzoekers van ESET een beroep op de webmasters en systeembeheerders om alle systemen na te lopen om te kijken of zij op enig punt gecompromitteerd zijn. 

“Webmasters en IT personeel hebben al genoeg kopzorgen dus we vragen dit niet van harte, maar dit is belangrijk.” zegt Léveillé. “Het laatste wat iemand zou moeten willen is om een deel van het probleem zijn en bij te dragen aan het verspreiden van malware en spam. Een paar minuten kan het verschil maken.” 


Onderstaande getallen zijn de verschillende browser user-agents van het gemeten webtraffic van 1 van de gecompromitteerde proxy servers in slechts één weekend.

 

Een bittere pil
“De Ebury backdoor die ingezet is in de Windigo cybercrime operatie maakt geen gebruik van een exploit of kwetsbaarheid in Linux of OpenSSH,” legt Léveillé uit. “Het is handmatig aangebracht door een aanvaller. Het feit dat zij dit handmatig op tienduizenden verschillende servers hebben kunnen doen is ijzingwekkend. Antivirus en 2-factor beveiliging zijn alom bekend op desktops, maar wordt helaas zelden ingezet om servers te beschermen waardoor ze kwetsbaar blijven voor het stelen van credentials en eenvoudig ingezet kunnen worden voor het verspreiden van malware.”

Het advies is dan ook aan systeembeheerders om, als een geinfecteerd systeem wordt ontdekt, deze volledig opnieuw op te bouwen en dat alle wachtwoorden en sleutelsets opnieuw worden opgezet. Alle bestaande credentials moeten in alle gevallen als gecompromitteerd worden beschouwd. Om dit in de toekomst te voorkomen is het advies om technieken zoals bijvoorbeeld 2-factor authenticatie in te zetten voor de toegang tot de servers.

“We realiseren ons dat het volledig wissen en opnieuw opbouwen van een server een heftige remedie is maar als hackers administrator credentials hebben gestolen of gekraakt en toegang hadden tot je servers kan je je geen risico veroorloven,” verklaart Léveillé.