Az ESET leleplezte az elmúlt évek legnagyobb támadássorozatát

Next story

Az ESET a napokban hozta nyilvánosságra azt a 70 oldalas dokumentumot, amely hónapok óta tartó vizsgálatok eredménye. Az éveken keresztül teljesen észrevétlenül zajló támadássorozat ügyét az ESET, a CERT-Bund, az SNIC (Swedish National Infrastructure for Computing), valamint egyes kormányzati ügynökségek együttműködésével göngyölítette fel. Az Operation Windigo elnevezésű világméretű akció elsősorban az Egyesült Államokban fertőzte a szervereket, de nagy európai országokban (főleg Németországban, Franciaországban, Olaszországban és Nagy-Britanniában) is ezres nagyságrendű volt a kompromittált rendszerek száma.

„Naponta 35 millió kéretlen levelet küldtek ki az ártatlan felhasználók fiókjaiba, amellyel betelítették a beérkező üzenetek mappákat és veszélyeztették a számítógépes rendszereket. Emellett a Windigohoz tartozó kártékony programok segítségével webes átirányítások, forgalomelterelések is létre jöhettek. Napi félmillió olyan átirányítás következhetett be ártalmas weboldalakra, amik a végfelhasználók számítógépeinek megfertőződéséhez vezethettek.” – mondta Marc-Étienne Léveillé, az ESET biztonsági kutatója. „És ez még nem minden, a támadások okostelefonokat is érintettek, az iPhone felhasználókat felnőtteknek szóló tartalmakkal kecsegtető weblapokra vezették, azzal a szándékkal, hogy a cyberbűnözők pénzt keressenek.”

A vírusterjesztők különféle exploitokat használtak arra, hogy biztonsági réseken keresztül ártalmas kódokat jutassanak fel az "eltérített" PC-kre. Mac OS X, illetve iOS alapú rendszerek esetében pedig elsősorban weboldalakat manipuláltak, és hirdetéseket szúrtak be egyes weblapokba. A szerverek támadására és a számítógépek megfertőzésére a Windigo olyan bonyolult és kifinomult malware öszetevőket (backdoor-ok és scriptek) használt fel, mint a Linux/Ebury, Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M és Win32/Boaxxe.G.

Az áldozatul esett minimum 25 ezer Linux és UNIX alapú kiszolgáló mellett még napjainkban is legalább 10 ezer szerveren vannak jelen aktívan azok a kódok, amik révén a támadók végrehajthatják a káros tevékenységeiket. Ezért az ESET szakemberei a rábízott rendszer alapos vizsgálatát javasolják minden szerverüzemeltetőnek. A következő egyszerű parancs lefuttatásával, meggyőződhetünk arról, hogy a szerverünk fertőzött-e vagy sem:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Ha pedig fertőzésre utaló jelet találnak, javasolt az egész rendszer újratelepítése.

További részletekért érdemes elolvasni az ESET Operation Windigo támadássorozatról írt white paper dokumentumát.