18. marec, 2014 | Bratislava

ESET: Škodlivý kód útočí denne na 500-tisíc počítačov, zneužíva na to 25-tisíc serverov

Bezpečnostní výskumníci zo spoločnosti ESET objavili spolu s nemeckým CERT-Bund, švédskym SNIC a ďalšími agentúrami rozsiahlu kybernetickú kriminálnu činnosť, ktorá celosvetovo prevzala kontrolu nad viac než 25-tisíckami unixových serverov. Niekoľko z nich sa nachádza aj na Slovensku a v Českej republike.

Útok, ktorý bezpečnostní experti pomenovali “operácia Windigo”, mal za následok infikovanie serverov, ktoré rozosielali milióny spamových e-mailov. Komplexná skupina sofistikovaných komponentov škodlivého kódu bola vytvorená na prevzatie kontroly nad servermi, infikovanie počítačov, ktoré ich navštívia a na krádež informácií.

Medzi obeťami “operácie Windigo” bol aj jeden zo serverov cPanel-u. Ide softvér, ktorý umožňuje jednoduchšie spravovanie serverov a na nich hosťovaných webstránok. Linux nadácia oznámila, že útočníci skompromitovali niekoľko jej serverov a taktiež používateľov kernel.org, čo je hlavné úložisko zdrojového kódu linuxového jadra.

OPERÁCIA WINDIGO naberala na sile tri roky

Niektorí experti si časti Windigo kampane všimli, celá veľkosť a komplexnosť operácie však zostala bezpečnostnou komunitou nepovšimnutá.

Používatelia iPhonov sú pri návšteve stránky presmerovaní na pornografický web.“Windigo naberal na sile viac než dva a pol roka a momentálne má pod kontrolou 10-tisíc serverov,”
hovorí Marc-Étienne Léveillé, bezpečnostný výskumník spoločnosti ESET. “Denne je na e-mailové účty nevinných internetových používateľov týmto spôsobom odoslaných viac než 35 miliónov spamových e-mailov. Zaberajú im e-mailové schránky a vystavujú ich systémy riziku. Ešte horšie však je, že každý deň sa riziku vystavuje pol milióna počítačov, ktoré navštevujú webstránky infikované škodlivým kódom zameraným na webové servery. Tento škodlivý kód na ne umiestnili tvorcovia operácie Windigo, počítače sú týmto spôsobom presmerované na škodlivé exploit sady a reklamu,” vysvetľuje Léveillé.

Zaujímavé je, že Windigom zasiahnuté webstránky sa pokúšajú infikovať počítače s Windowsom cez exploit sadu, používateľom Macov však podsúvajú reklamu na zoznamovacie webstránky a majitelia iPhonov sú presmerovávaní na stránky s pornografickým obsahom.

Výzva systémovým administrátorom

Viac než 60 percent webstránok na celom svete beží na linuxových serveroch. Výskumníci z ESETu preto apelujú na webmasterov a systémových administrátorov, aby skontrolovali svoje systémy.

“Webmasteri a IT odborníci toho majú na práci dosť, preto im prácu neradi pridávame. Toto je však dôležité. Každý chce byť dobrým internetovým občanom a toto je vaša šanca hrať svoju úlohu a pomáhať chrániť internetových používateľov,” hovorí Léveillé. “Zopár minút práce môže veľa zmeniť. Uistite sa, že ste súčasťou riešenia a nie problému.”

Ako zistiť, že server napadol Windigo

Výskumníci ESETu, ktorí Windigo pomenovali podľa mýtického stvorenia severoamerických Indiánov Alqonquinov pre jeho kanibalistické sklony, apelujú na administrátorov unixových systémov a webmasterov, aby vo svojich systémoch zadali nasledovný príkaz, ktorý im povie, či boli ich servery skompromitované:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Horká pilulka pre obete Windiga

“Trójsky kôň Ebury použitý v operácii Windigo nezneužíva zraniteľnosti v Linuxe alebo v OpenSSH,” pokračuje Léveillé. “Namiesto toho je útočníkom nainštalovaný manuálne. Mrazivý je fakt, že sa im to podarilo na desať tisícoch odlišných serverov. Na počítačoch je bežné používať antivírusové riešenie a dvojfaktorovú autentifikáciu, na serveroch sa však používajú zriedkavo. Sú preto náchylné na únik údajov a nasadenie škodlivého kódu.”

Ak systémoví administrátori zistia, že ich systémy sú infikované, je im odporučené vymazať zasiahnuté počítače a preinštalovať operačný systém a softvér. Je dôležité, aby boli použité nové heslá a privátne šifrovacie kľúče. Existujúce musia byť považované za skompromitované.

Pre vyššiu úroveň ochrany pri vstupe do systémov by mali systémoví a web administrátori zvážiť použitie technológie dvojfaktorovej autentifikácie.

“Uvedomujeme si, že premazať server a začať od začiatku môže byť horkou pilulkou. Ak však hackeri ukradli vaše administrátorské loginy a majú vzdialený prístup k vašim serverom, nemôžete riskovať,” vysvetľuje Léveillé. “Sme v kontakte s niektorými obeťami tohto útoku, ktoré vedia, že sú infikované. Pre vyčistenie svojich systémov však bohužiaľ nič nespravili, čo môže potenciálnemu riziku vystaviť ešte viac internetových používateľov.”

Všetkým používateľom internetu pripomíname, aby jedno heslo nepoužívali do viacerých systémov a aby si ako heslo nevyberali ľahko uhádnuteľný reťazec.

Ďalšie informácie

ESET vypublikoval detailnú správu o “operácii Windigo” a o viacerých komponentoch, z ktorých táto hrozba pozostáva. Pre stiahnutie celej správy prosím navštívte stránku welivesecurity.com/windigo.

Obete Windiga podľa ich operačných systémov:
Obete Windiga podľa ich operačných systémov

Obete Windiga podľa ich internetových prehliadačov:
Obete Windiga podľa ich internetových prehliadačov

Krajiny, do ktorých je zasielaný spam z Windiga:
Krajiny, do ktorých je zasielaný spam z Windiga

 



O spoločnosti ESET – už 20 rokov chránime vaše digitálne svety

Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia.

ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; San Diegu, USA; Buenos Aires, Argentína a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj vDiegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.