r   e   k   l   a   m   a
r   e   k   l   a   m   a

Operacja Windigo: ESET wyjaśnia, jak przejąć tysiące linuksowych serwerów

Strona główna AktualnościOPROGRAMOWANIE

Znaczenie Linuksa rośnie na każdym polu, a to oznacza, że interesuje on coraz bardziej także cyberprzestępców. Badacze z firmy ESET udokumentowali bardzo ciekawy atak, który pozwolił napastnikom zamienić linuksowe i uniksowe serwery w narzędzia dystrybucji spamu i przekierowywania użytkowników na strony WWW hostujące złośliwe oprogramowanie.

Operacja, która otrzymała od badaczy nazwę „Windigo”, prowadzona ma być nieprzerwanie przynajmniej od 2011 roku. Przez ponad ponad trzy lata stojącym za nią ludziom udało się zainfekować ponad 25 tysięcy serwerów (nie tylko linuksowych, ale też korzystających z FreeBSD, OpenBSD, OS X, a nawet Windows ze środowiskiem Cygwin), instalując na nich oprogramowanie, które pozwoliło na wysyłanie ponad 35 mln spamowych wiadomości dziennie, skuteczne rozpowszechnianie malware atakującego internautów pracujących na Windows (szkodników Win32/Boaxxe.G i Win32/Glubteta.M), a także generowanie banerów reklamowych witryn z pornografią.

25 tysięcy zarażonych maszyn wydaje się niewielką liczbą, w porównaniu do operacji działających na dużą skalę botmasterów, którzy potrafią przecież kontrolować botnety liczące miliony komputerów osobistych. Eksperci ESET-a przypominają jednak, że mamy tu do czynienia z czymś znacznie bardziej niebezpiecznym: przejęte maszyny to serwery, mające zwykle dostęp do znacznie większych zasobów ruchu sieciowego i mocy obliczeniowej, niż typowe domowe PC działające pod kontrolą Windows, jakie najczęściej stają się zombie. Akcje takie jak rozsyłanie spamu czy ataki DDoS są znacznie efektywniejsze, jeśli do ich wykonania zaprząc serwerowy sprzęt.

r   e   k   l   a   m   a

Z opublikowanego przez ESET raportu pt. OPERATION WINDIGO: The vivisection of a large Linux server-side credential stealing malware campaign możemy się dowiedzieć, że ofiarami Windigo padły bardzo znaczące serwery, należące do Fundacji Linuksa czy cPanelu – firmy produkującej oprogramowanie do zarządzania usługami hostingowymi. Atak ma mieć coś wspólnego ze słynną sprawą z włamaniem na serwery kernel.org, której szczegóły do tej pory pozostawały nieznane. Mimo obietnic, deweloperzy Linuksa do tej pory nie zdołali wyjaśnić w pełni, co faktycznie się wówczas stało.

Jak przypominają autorzy raportu, o włamaniu na kernel.org wiadomo było tyle, że wykorzystano w nim rootkita Phalanx lub Phalanx2 do zarażenia serwerów Hera i Odin, a także komputerów należących do jednego ze znanych linuksowych deweloperów, Petera Anvina. Szkodnik miał przez ten czas pełen dostęp do wrażliwych informacji znajdujących się na zarażonych maszynach. To co się stało, pozwalało sądzić, że zarażono także inne maszyny – deweloper Greg Kroah-Hartman po odkryciu włamania wzywał wszystkich, którzy mieli konta na kernel.org do sprawdzenia, czy nie padli ofiarą ataku.

ESET twierdzi jednak, że w Windigo wykorzystano nie tylko Phalanxa, ale też inne szkodniki: furtkę w OpenSSH o nazwie Linux/Ebury, pozwalającą przejmować kontrolę nad serwerami i wykradać dane logowania, Linux/Cdorked, furtkę do serwerów WWW, pozwalającą rozpowszechniać złośliwe oprogramowanie dla Windows, Linux/Onimiki, służącego do rozwiązywania nazw domen według zadanych wzorów wybranym adresom IP, oraz Perl/Calfbot, wydajny skrypt w języku Perl do rozsyłania spamu.

Wiązać te narzędzia miałaby synchronizacja ich zastosowania. Choć Phalanx2 był chętnie wykorzystywanym rootkitem, po ataku na linux.org cyberprzestępcy praktycznie zaprzestali jego wykorzystywania. Wtedy zaś odnotowano pierwsze zastosowanie furtki Linux/Ebury. Kolejne komponenty układanki znanej jako Wendigo nie wykorzystywały zaś jakichś luk w zabezpieczeniach Linuksa: wręcz przeciwnie, do ich zainstalowania i uruchomienia na serwerach wykorzystywano wykradzione loginy i hasła (jak można się domyślać, deweloperzy Linuksa należą do tej kategorii ludzi, którzy mają wiele kont na wielu serwerach – i pewnie w wielu wypadkach są to konta administratorów).

Aby wykryć w systemie obecność Linux/Ebury, należy wydać polecenie ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”. Wykorzystywany jest tu fakt, że polecenie ssh -G zachowuje się odmiennie na zarażonych systemach. Jeśli dowiemy się, ze system został zarażony, pozostaje jedynie całkowicie przeinstalować system operacyjny, a wszystkie wykorzystywane pary login/hasło uznać za przejęte przez napastników. Eksperci ESET-u słusznie zauważają, że operacja Windigo dowodzi, jak słabym pod względem bezpieczeństwa mechanizmem uwierzytelniania jest stosowanie pary login/hasło. Gdyby linuksowym deweloperom chciało się wykorzystać np. dwuetapową weryfikację z wykorzystaniem modułu PAM usługi Google Authenticator, życie cyberprzestępców byłoby znacznie trudniejsze.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.