Исследователи компании ESET совместно с экспертными группами, занимающимися инцидентами в сфере компьютерной и Интернет-безопасности, обнаружили масштабную киберкампанию, в рамках которой тысячи инфицированных серверов Linux и Unix по всему миру осуществляли кражу данных авторизации для SSH доступа, перенаправляли пользователей на веб-ресурсы с вредоносным контентом и рассылали спам-письма.
Данная кибератака, которая уже успела получить название «Операция Вендиго», длилась около 3 лет. Начиная с 2012 года исследователи ESET регулярно обнаруживали элементы этой вредоносной кампании, но ее размер и масштаб оставались до конца неизвестными. При этом кибероперация незаметно набирала силу — были поражены более 25 000 серверов, которые ежедневно рассылали около 35 миллионов спам-рассылок с вредоносным контентом, подвергая при этом опасности такие широко популярные операционные системы как Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (через среду Cygwin) и Linux (включая Linux на базе ARM).
После проведения тщательного анализа была получена полная информация о характере данной атаки. По словам экспертов, основными компонентами кибероперации выступали бэкдоры — программы, предназначенные для скрытого удаленного администрирования, которые предоставляют мошенникам возможность несанкционированно и удаленно управлять инфицированным компьютером. Так, OpenSSH бэкдор Linux/Ebury использовался для получения контроля над зараженными серверами и кражи данных, HTTP бэкдор Linux/Cdorked перенаправлял веб-трафик, а с помощью скрипта Perl/Calfbot осуществлялась рассылка спама. Стоит отметить, что для доступа к серверам использовались не уязвимости ОС Linux, а украденные авторизационные данные. Этот факт говорит о том, что аутентификация лишь с помощью паролей не обеспечивает надежную защиту от несанкционированного доступа в систему и является пережитком прошлого.
По словам специалистов ESET, наибольшее количество жертв представляют пользователи таких почтовых доменов как Gmail, Hotmail и Yahoo, на каждый из которых было совершенно порядка 10 миллионов атак. Наибольшее количество спама с вредоносным контентом было отмечено в таких странах как Франция, Великобритания, Россия. При этом основная доля серверов Linux были заражены в США, Германии, Италии. Жертвами данной кибероперации стали крупные компании и организации, такие как cPanel и Linux Foundation.
Не смотря на подробное изучение угрозы и разработки инструментов очистки, на сегодняшний день более 700 веб-серверов продолжают перенаправлять пользователей на ресурсы с вредоносным контентом и более 500 000 посетителей легитимных веб-сайтов, обращающихся к инфицированным серверам, ежедневно становятся жертвами «Вендиго».
В связи с этим, а также учитывая тот факт, что более 60 % веб-сайтов во всем мире работают на серверах Linux, специалисты ESET настоятельно рекомендуют веб-разработчикам и системным администраторам проверить системы на наличие угроз для предотвращения дальнейшего распространения «Вендиго». Для этого ИТ-специалистам необходимо запустить следующую команду:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
В случае обнаружения заражения, специалисты ESET советуют произвести очистку инфицированных компьютеров, после чего переустановить операционную систему и программное обеспечение. При этом стоит не забывать, что ранее используемые пароли к учетным записям могут представлять угрозу для системы в дальнейшем. Для более высокого уровня защиты пользователям рекомендуется изменить данные для входа в систему, использовать сложные пароли, а также двухфакторную модель аутентификации.