Над 10000 Unix сървъри са заразени с троянски, 500 000 компютъра в риск ежедневно

Широко разпространената кампания за престъпления в кибернетичното пространство е завладяла контрола над 25 000 Unix сървъри в световен мащаб, съобщава ESET. Наричана като „Операция Windigo“, тази злонамерена кампания продължава от години и използва връзката от усъвършенствани зловредни програми, предназначени за отвличане на сървъри, заразяване на компютрите, които ги посещават, и кражба на информация.

Изследователят по сигурността на ESET Марк-Етиен Левейе казва:

„Windigo събира сила, до голяма степен незабелязана от общността за сигурност, повече от две години и половина и понастоящем разполага с 10 000 сървъра под негов контрол. Над 35 милиона спам съобщения се изпращат всеки ден на невинни потребителски акаунти, запушват пощенските кутии и излагат на риск компютърните системи. Още по-лошо е, че всеки ден над половин милион компютъра са изложени на риск от инфекция, тъй като посещават уебсайтове, които са били отровени от злонамерен софтуер на уеб сървърите, засаден от операция Windigo, пренасочване към злонамерени експлоатационни комплекти и реклами.

Разбира се, това са пари

Целта на операцията Windigo е да печелите пари чрез:

  • Спам
  • Инфектиране на компютри на уеб потребители чрез устройства за изтегляне от устройства
  • Пренасочване на уеб трафик към рекламни мрежи

Освен изпращането на спам имейли, уебсайтовете, работещи на заразени сървъри, се опитват да заразят посещаващи компютри с Windows злонамерен софтуер чрез комплект за експлоатация, потребителите на Mac получават реклами за сайтове за запознанства, а собствениците на iPhone се пренасочват към порнографско онлайн съдържание.

Означава ли това, че не заразява десктоп Linux? Не мога да кажа и докладвам нищо за това.

Вътре в Windigo

ESET публикува подробен доклад с проучванията на екипа и анализа на зловредния софтуер заедно с насоки, за да открие дали дадена система е заразена и инструкции за нейното възстановяване. Съгласно доклада, операцията на Windigo се състои от следния зловреден софтуер:

  • Linux / Ebury : работи предимно на Linux сървъри. Той предоставя root задната обвивка и има възможност да краде SSH идентификационни данни.
  • Linux / Cdorked : работи предимно на уеб сървъри на Linux. Той предоставя черупка на задната вратичка и разпространява злонамерен софтуер на Windows до крайните потребители чрез изтегляне от диска.
  • Linux / Onimiki : работи на Linux DNS сървъри. Той разрешава имена на домейни с определен модел на всеки IP адрес, без да е необходимо да променя конфигурацията на сървърната страна.
  • Perl / Calfbot : работи на повечето поддържани от Perl платформи. Това е лек бот за спам, написан на Perl.
  • Win32 / Boaxxe.G : злонамерен софтуер за измама с кликвания и Win32 / Glubteta.M, общ прокси сървър, работещ на компютри с Windows. Това са двете заплахи, разпространявани чрез изтегляне чрез задвижване.

Проверете дали сървърът ви е жертва

Ако сте администратор на sys, може да си струва да проверите дали сървърът ви е жертва на Windingo. ETS предоставя следната команда, за да провери дали дадена система е заразена с някой от зловредния софтуер на Windigo:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected” 

В случай, че вашата система е заразена, препоръчваме ви да изтриете засегнатите компютри и да преинсталирате операционната система и софтуера. Труден късмет, но това е да се гарантира безопасността.

Препоръчано

digiKam 5.0 Издаден! Инсталирайте го в Ubuntu Linux
2019
Mycroft Mark II: Отговорът с отворен код на Amazon Echo и Google Home, който не ви шпионира
2019
13 неща, които трябва да направите след инсталирането на Ubuntu 17.04
2019