Ако имате уеб сайт, който се хоства на Linux сървър или отговаряте за сигурността на данните на компанията ви, то следващите редове са задължително четиво за Вас.Изследователите на ESET разкриха най-мащабната операция на кибер престъпници, на която сме ставали свидетели до момента. Операция, която е засегнала (разбирайте – установила контрол) върху десетки хиляди Unix сървъри. В разследването на операцията участваха още Европейската организация за ядрени изследвания (CERN), CERT-Bund към Министерството на информационните технологии на Германия и Шведската Национална агенция за компютърна инфраструктура.Поне засега, единственото сигурно „лечение“ на заразената система е пълната преинсталация на операционната система, както и промяната на абсолютно всички пароли за достъп до сървъра, тъй като те със сигурност са компроментирани. Накратко, ако сте жертва, трябва да промените всички пароли и частни OpenSSH ключове.
Атаката, която носи кодовото име „Операция Windigo“ (кръстена е на митично чудовище от преданията на индианците уиндиго, притежаващо способност да променя външния си вид), е достигнала до над 25,000 Unix сървъра, които са били хакнати. Като резултат всеки ден от засегнатите машини се изпращат средно по над 35 млн. спам съобщения.Дори само това би било достатъчно, за да наречем атаката брутална.Освен за разпращане на спам съобщения обаче, хакерите използват засегнатите сървъри, за да засягат и потребителите, посещаващи сайтовете на тях, със софтуер, изпращам спам (за Windows потребители) и визуализиране на реклами на сайтове за запознанства (за потребители на Mac).Дори и собствениците на смартфони и таблети не остават незасегнати от атаката – техните iOS устройства са пренасочвани към порно сайтове, което най-вероятно носи директни приходи на киберпрестъпниците.Анализаторите на ESET публикуваха детайлна техническа документация, свързан с атаката (засега е достъпен на английски оттук). Според нас, Операция Windigo е кампания, която се развива в продължение на повече от 2 години и половина, без да бъде забелязана.„Над 35 млн. спам съобщения се изпращат всеки ден на невинни потребители, задръствайки имейли и излагайки не една и две компютърни системи на риск. Още по-лошо – всеки ден над 500,000 компютъра са изложени на пряка опасност от зараза, тъй като собствениците им посещават уеб сайтове, които са заразени с вируси на ниво сървър и пренасчоват всеки към потенциално опасни сайтове,“ коментира изследователят от ESET Марк-Етиен Левеил.В опитите си да се сдобие с контрол върху сървъри и да зарази компютри, Windigo използва плетеница от вирусни компоненти, съдържаща Linux/Ebury (OpenSSH вирус, който краде потребителски имена и пароли и позволява отдалечен достъп до заразена машина), Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M, и Win32/Boaxxe.G.В рамките само на един уикенд, изследователите на ESET преброиха над 1.1 млн. уникални IP адреса, посетили инфраструктурата на Windigo, преди да бъдат пренасочени към заразяващи с вируси външни сървъри.Анализът на посещаемостта показа, че всъщност посетителите идват от доста различни устройства.Което между другото изкара наяве интересни данни – например, все още поне 23 души използват Windows 98 за достъп до интернет, а с Windows 95 е поне 1 потребител онлайн.Шегата настрана, за да разберете дали вашият сървър не е засегнат, стартирайте следната команда:$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Ако искате да разберете повече за цялата операция, вижте тук (.pdf на английски език).