Bezpečnostní výskumníci zo spoločnosti ESET objavili spolu s nemeckým CERT-Bund, švédskym SNIC a ďalšími agentúrami rozsiahlu kybernetickú kriminálnu činnosť, ktorá celosvetovo prevzala kontrolu nad viac než 25-tisíckami unixových serverov. Niekoľko z nich sa nachádza aj na Slovensku a v Českej republike.
Útok, ktorý bezpečnostní experti pomenovali “operácia Windigo”, mal za následok infikovanie serverov, ktoré rozosielali milióny spamových e-mailov. Komplexná skupina sofistikovaných komponentov škodlivého kódu bola vytvorená na prevzatie kontroly nad servermi, infikovanie počítačov, ktoré ich navštívia a na krádež informácií.
Medzi obeťami “operácie Windigo” bol aj jeden zo serverov cPanel-u. Ide softvér, ktorý umožňuje jednoduchšie spravovanie serverov a na nich hosťovaných webstránok. Linux nadácia oznámila, že útočníci skompromitovali niekoľko jej serverov a taktiež používateľov kernel.org, čo je hlavné úložisko zdrojového kódu linuxového jadra.
OPERÁCIA WINDIGO naberala na sile tri roky
Niektorí experti si časti Windigo kampane všimli, celá veľkosť a komplexnosť operácie však zostala bezpečnostnou komunitou nepovšimnutá.
“Windigo naberal na sile viac než dva a pol roka a momentálne má pod kontrolou 10-tisíc serverov,”
hovorí Marc-Étienne Léveillé, bezpečnostný výskumník spoločnosti ESET. “Denne je na e-mailové účty nevinných internetových používateľov týmto spôsobom odoslaných viac než 35 miliónov spamových e-mailov. Zaberajú im e-mailové schránky a vystavujú ich systémy riziku. Ešte horšie však je, že každý deň sa riziku vystavuje pol milióna počítačov, ktoré navštevujú webstránky infikované škodlivým kódom zameraným na webové servery. Tento škodlivý kód na ne umiestnili tvorcovia operácie Windigo, počítače sú týmto spôsobom presmerované na škodlivé exploit sady a reklamu,” vysvetľuje Léveillé.
Zaujímavé je, že Windigom zasiahnuté webstránky sa pokúšajú infikovať počítače s Windowsom cez exploit sadu, používateľom Macov však podsúvajú reklamu na zoznamovacie webstránky a majitelia iPhonov sú presmerovávaní na stránky s pornografickým obsahom.
Výzva systémovým administrátorom
Viac než 60 percent webstránok na celom svete beží na linuxových serveroch. Výskumníci z ESETu preto apelujú na webmasterov a systémových administrátorov, aby skontrolovali svoje systémy.
“Webmasteri a IT odborníci toho majú na práci dosť, preto im prácu neradi pridávame. Toto je však dôležité. Každý chce byť dobrým internetovým občanom a toto je vaša šanca hrať svoju úlohu a pomáhať chrániť internetových používateľov,” hovorí Léveillé. “Zopár minút práce môže veľa zmeniť. Uistite sa, že ste súčasťou riešenia a nie problému.”
Ako zistiť, že server napadol Windigo
Výskumníci ESETu, ktorí Windigo pomenovali podľa mýtického stvorenia severoamerických Indiánov Alqonquinov pre jeho kanibalistické sklony, apelujú na administrátorov unixových systémov a webmasterov, aby vo svojich systémoch zadali nasledovný príkaz, ktorý im povie, či boli ich servery skompromitované:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Horká pilulka pre obete Windiga
“Trójsky kôň Ebury použitý v operácii Windigo nezneužíva zraniteľnosti v Linuxe alebo v OpenSSH,” pokračuje Léveillé. “Namiesto toho je útočníkom nainštalovaný manuálne. Mrazivý je fakt, že sa im to podarilo na desať tisícoch odlišných serverov. Na počítačoch je bežné používať antivírusové riešenie a dvojfaktorovú autentifikáciu, na serveroch sa však používajú zriedkavo. Sú preto náchylné na únik údajov a nasadenie škodlivého kódu.”
Ak systémoví administrátori zistia, že ich systémy sú infikované, je im odporučené vymazať zasiahnuté počítače a preinštalovať operačný systém a softvér. Je dôležité, aby boli použité nové heslá a privátne šifrovacie kľúče. Existujúce musia byť považované za skompromitované.
Pre vyššiu úroveň ochrany pri vstupe do systémov by mali systémoví a web administrátori zvážiť použitie technológie dvojfaktorovej autentifikácie.
“Uvedomujeme si, že premazať server a začať od začiatku môže byť horkou pilulkou. Ak však hackeri ukradli vaše administrátorské loginy a majú vzdialený prístup k vašim serverom, nemôžete riskovať,” vysvetľuje Léveillé. “Sme v kontakte s niektorými obeťami tohto útoku, ktoré vedia, že sú infikované. Pre vyčistenie svojich systémov však bohužiaľ nič nespravili, čo môže potenciálnemu riziku vystaviť ešte viac internetových používateľov.”
Všetkým používateľom internetu pripomíname, aby jedno heslo nepoužívali do viacerých systémov a aby si ako heslo nevyberali ľahko uhádnuteľný reťazec.
Ďalšie informácie
ESET vypublikoval detailnú správu o “operácii Windigo” a o viacerých komponentoch, z ktorých táto hrozba pozostáva. Pre stiahnutie celej správy prosím navštívte stránku welivesecurity.com/windigo.
Obete Windiga podľa ich operačných systémov:
Obete Windiga podľa ich internetových prehliadačov:
Krajiny, do ktorých je zasielaný spam z Windiga: