Výskumníci antivírusovej spoločnosti ESET analyzujú s bezpečnostnou firmou Sucuri novú hrozbu, ktorá zasiahla tisíce Apache webserverov*. Ide o celosvetovo najznámejšie a najpoužívanejšie webové servery. Hrozbou je backdoor, to znamená škodlivý kód, ktorý obídením istých mechanizmov poskytuje útočníkovi prístup k operačnému systému napadnutých serverov.
Tento vyspelý backdoor využívajú útočníci na presmerovanie internetového surfera na škodlivé stránky, ktoré sú infikované Blackhole exploit sadou**.
“Ide o známu a rozšírenú sadu, ktorá na infikovanie užívateľovho systému počas jeho návštevy skompromitovanej webstránky používa známe ale aj nové exploity, ktoré sú súčasťou Blackholu“, vysvetľuje Righard Zwienenberg, výskumník spoločnosti ESET.
Exploit*** je program, ktorý zneužíva programátorskú chybu.Výskumníci tento backdoor pomenovali Linux/Cdorked.A, jedná sa o zatiaľ najdômyselnejší Apache backdoor, s akým sa kedy stretli. Do dnešného dňa identifikovali vďaka technológii ESET LiveGrid stovky skompromitovaných webserverov.
„Okrem modifikovaného „httpd“ súboru (Apache webservera*) po sebe Linux/Cdorked. A na hard-disku nezanecháva žiadne stopy. Všetky informácie súvisiace s backdoorom sú uložené v zdieľanej pamäti servera, kvôli čomu je jeho detekcia a analýza oveľa komplikovanejšia,“ hovorí Pierre-Marc Bureau, výskumník spoločnosti ESET.
Táto hrozba je zaujímavá tým, že nekontaktuje svoj vzdialený riadiaci server aktívne, ale akceptuje príkazy z akéhokoľvek servera. Tieto príkazy prichádzajú formou štandardného HTTP protokolu, napriek tomu o nich tento server nevyrába žiaden záznam.
Ďalšie opatrenie, ktoré backdoor realizuje, je to, že užívateľom škodlivý obsah prezentuje len zriedka. Každému návštevníkovi sa snaží škodlivý obsah zobraziť len raz, čím redukuje možnosť svojho odhalenia. Taktiež sa snaží nezobrazovať podvrhnutý obsah na stránkach, ktoré súvisia s administráciou príslušného webserveru (napríklad ak si webmaster prezerá stránky s nastaveniami systému).
ESET odporúča systémovým administrátorom, aby skontrolovali svoje servery a overili si, či nie sú touto hrozbou postihnuté. Pri tejto príležitosti vytvorila spoločnosť bezplatný nástroj, ktorý administrátorom pomôže pri detekcii tejto hrozby (dump_cdorked_config.py). Celá technická analýza je k dispozícii na blogu spoločnosti ESET s názvom welivesecurity.com.
Ďalšie informácie o Linux/Cdorked.A sa taktiež nachádzajú na blogu spoločnosti Sucuri.
* Apache webserver:
Webový server, ktorý internetovému prehliadaču používateľa dodáva väčšinu internetových stránok. Je to program alebo aplikácia, ktorá dokáže bežať na viacerých typoch operačných systémov. V druhej polovici deväťdesiatych rokov hral kľúčovú rolu pri rozširovaní webu.
** Black Hole exploit sada:
Známa a rozšírená sada exploitov, ktorú útočníci využívajú na infikovanie počítačov. Jej tvorcovia do nej pravidelne pridávajú nové funkcie. Sada sa dá za poplatok prenajať na čiernom trhu.
*** Exploit:
Program zneužívajúci programátorskú chybu, ktorá v aplikácii vyvolá činnosť, na ktorú nebola pôvodne určená. Napríklad exploit internetového prehliadača umožňuje útočníkovi získať kontrolu nad počítačom, na ktorom tento internetový prehliadač beží.
O spoločnosti Sucuri
Firma so sídlom v Kalifornii sa venuje ochrane a prevencii pred internetovými hrozbami a taktiež zvyšovaniu povedomia o týchto hrozbách. Vznikla v roku 2007, v súčasnosti operuje z dvoch kontinentov – Severnej a Južnej Ameriky. Oba svoje open sourcové projekty ponúka verejnosti zdarma.
O spoločnosti ESET – už 20 rokov chránime vaše digitálne svety
Spoločnosť ESET, ktorá tento rok oslavuje 20. výročie svojho založenia, je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET NOD32 Antivirus drží rekord v ocenení VB100 testu britského Virus Bulletin, vysoko-rešpektovanej nezávislej testovacej organizácie.ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; San Diegu, USA; Buenos Aires, Argentína a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta.
Firma už desať rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.