Botnet z serwerów linuksowych zdezaktywowany #prasówka

Botnet z serwerów linuksowych zdezaktywowany #prasówka

Botnet z serwerów linuksowych zdezaktywowany #prasówka
Łukasz Maślanka
11.04.2016 11:38

Eksperci z firmy ESET we współpracy z ukraińską policją i CyS Centrum, firmą specjalizującą się w audytach bezpieczeństwa IT, zdezaktywowali botnet Mumblehard. Serwery wchodzące w skład tego botnetu znajdowały się w 63 krajach, w tym w Polsce. Celem działania Mumblehard była wysyłka wiadomości spamowych. Botnet działał od 2009 r., a w najaktywniejszym momencie swojej działalności łączył prawie 4 tys. urządzeń.

Botnet Mumblehard był zbudowany z serwerów z systemami operacyjnymi Linuks i BSD, które zainfekowane zostały zagrożeniem wykrywanym przez ESET jako Linux/Mumblehard. Cyberprzestępcy najpierw wyszukali we wspomnianych serwerach luki w zainstalowanym oprogramowaniu, a następnie za ich pomocą infekowali urządzenia i przejmowali nad nimi kontrolę. Przejęte serwery wykorzystywali głównie do wysyłania wiadomości spamowych.

Obraz

Wyniki śledztwa

Dzięki współpracy ekspertów z firmy ESET, ukraińskiej policji i CyS Centrum, jesienią 2015 r. udało się uzyskać dostęp do serwera kontrolującego botnet (tzw. Command and Control Server) i zbadać jak działa sieć serwerów zombie. Okazało się, że botnet łączy prawie 4 tys. urządzeń z 63 krajów świata.

Ciekawą zdolnością botnetu była umiejętność automatycznego wypisywania się z listy podmiotów podejrzanych o wysyłanie spamu (Spamhaus Composite Blocking List). Automatyczny skrypt na bieżąco monitorował adresy IP wszystkich zainfekowanych serwerów i jeśli któryś z adresów został wpisany na listę, automatycznie wysyłał prośbę o wypisanie z niej. Takie prośby zabezpieczone są mechanizmem CAPTCHA, ale zainfekowana maszyna była w stanie poradzić sobie z tą przeszkodą – wykorzystywała techniki rozpoznawania tekstu, a także zewnętrzne usługi, aby złamać te zabezpieczania.

Co dalej?

Choć botnet został zdezaktywowany, to zainfekowane serwery nadal pracują. Jednostki CERT w poszczególnych krajach świata informują teraz firmy, których serwery zostały przyłączone do wspomnianego botnetu. Dzięki temu liczba zainfekowanych serwerów stale maleje. Jak zapobiec podobnym infekcjom serwerów firmowych? Eksperci radzą, aby aplikacje znajdujące się na serwerach były aktualizowane na bieżąco, a konta administratora posiadały silne hasła. Od czasu przejęcia botnetu, analitycy ESET nie zauważyli nowych wariantów zagrożenia ani jakichkolwiek działań podejmowanych przez grupę cyberprzestępców odpowiedzialnych za ten atak.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (2)