Operacja Windigo: ESET wyjaśnia, jak przejąć tysiące linuksowych serwerów
Znaczenie Linuksa rośnie na każdym polu, a to oznacza, żeinteresuje on coraz bardziej także cyberprzestępców. Badacze zfirmy ESET udokumentowali bardzo ciekawy atak, który pozwoliłnapastnikom zamienić linuksowe i uniksowe serwery w narzędziadystrybucji spamu i przekierowywania użytkowników na strony WWWhostujące złośliwe oprogramowanie.
Operacja, która otrzymała od badaczy nazwę „Windigo”,prowadzona ma być nieprzerwanie przynajmniej od 2011 roku. Przezponad ponad trzy lata stojącym za nią ludziom udało sięzainfekować ponad 25 tysięcy serwerów (nie tylko linuksowych, aleteż korzystających z FreeBSD, OpenBSD, OS X, a nawet Windows ześrodowiskiem Cygwin), instalując na nich oprogramowanie, którepozwoliło na wysyłanie ponad 35 mln spamowych wiadomości dziennie,skuteczne rozpowszechnianie malware atakującego internautówpracujących na Windows (szkodników Win32/Boaxxe.G iWin32/Glubteta.M), a także generowanie banerów reklamowych witrynz pornografią.
25 tysięcy zarażonych maszyn wydaje się niewielką liczbą, wporównaniu do operacji działających na dużą skalę botmasterów,którzy potrafią przecież kontrolować botnety liczące milionykomputerów osobistych. Eksperci ESET-a przypominają jednak, żemamy tu do czynienia z czymś znacznie bardziej niebezpiecznym:przejęte maszyny to serwery, mające zwykle dostęp do znaczniewiększych zasobów ruchu sieciowego i mocy obliczeniowej, niżtypowe domowe PC działające pod kontrolą Windows, jakienajczęściej stają się zombie. Akcje takie jak rozsyłanie spamuczy ataki DDoS są znacznie efektywniejsze, jeśli do ich wykonaniazaprząc serwerowy sprzęt.
Z opublikowanego przez ESET raportupt. OPERATION WINDIGO: The vivisection of a large Linuxserver-side credential stealing malware campaign możemy siędowiedzieć, że ofiarami Windigo padły bardzo znaczące serwery,należące do Fundacji Linuksa czy cPanelu – firmy produkującejoprogramowanie do zarządzania usługami hostingowymi. Atak ma miećcoś wspólnego ze słynną sprawą z włamaniem na serwerykernel.org, której szczegóły do tej pory pozostawały nieznane.Mimo obietnic, deweloperzy Linuksa do tej pory nie zdołali wyjaśnićw pełni, co faktycznie się wówczas stało.
Jak przypominają autorzy raportu, o włamaniu na kernel.orgwiadomo było tyle, że wykorzystano w nim rootkita Phalanx lubPhalanx2 do zarażenia serwerów Hera i Odin, a także komputerównależących do jednego ze znanych linuksowych deweloperów, PeteraAnvina. Szkodnik miał przez ten czas pełen dostęp do wrażliwychinformacji znajdujących się na zarażonych maszynach. To co sięstało, pozwalało sądzić, że zarażono także inne maszyny –deweloper Greg Kroah-Hartman po odkryciu włamania wzywałwszystkich, którzy mieli konta na kernel.org do sprawdzenia, czy niepadli ofiarą ataku.
ESET twierdzi jednak, że w Windigo wykorzystano nie tylkoPhalanxa, ale też inne szkodniki: furtkę w OpenSSH o nazwieLinux/Ebury, pozwalającą przejmować kontrolę nad serwerami iwykradać dane logowania, Linux/Cdorked, furtkę do serwerów WWW,pozwalającą rozpowszechniać złośliwe oprogramowanie dla Windows,Linux/Onimiki, służącego do rozwiązywania nazw domen wedługzadanych wzorów wybranym adresom IP, oraz Perl/Calfbot, wydajnyskrypt w języku Perl do rozsyłania spamu.
Wiązać te narzędzia miałaby synchronizacja ich zastosowania.Choć Phalanx2 był chętnie wykorzystywanym rootkitem, po ataku nalinux.org cyberprzestępcy praktycznie zaprzestali jegowykorzystywania. Wtedy zaś odnotowano pierwsze zastosowanie furtkiLinux/Ebury. Kolejne komponenty układanki znanej jako Wendigo niewykorzystywały zaś jakichś luk w zabezpieczeniach Linuksa: wręczprzeciwnie, do ich zainstalowania i uruchomienia na serwerachwykorzystywano wykradzione loginy i hasła (jak można się domyślać,deweloperzy Linuksa należą do tej kategorii ludzi, którzy mająwiele kont na wielu serwerach – i pewnie w wielu wypadkach są tokonta administratorów).
Aby wykryć w systemie obecność Linux/Ebury, należy wydaćpolecenie ssh -G 2>&1 | grep -e illegal -e unknown >/dev/null && echo “System clean” || echo “Systeminfected”. Wykorzystywany jest tu fakt, że polecenie ssh -Gzachowuje się odmiennie na zarażonych systemach. Jeśli dowiemysię, ze system został zarażony, pozostaje jedynie całkowicieprzeinstalować system operacyjny, a wszystkie wykorzystywane parylogin/hasło uznać za przejęte przez napastników. Eksperci ESET-usłusznie zauważają, że operacja Windigo dowodzi, jak słabym podwzględem bezpieczeństwa mechanizmem uwierzytelniania jeststosowanie pary login/hasło. Gdyby linuksowym deweloperom chciałosię wykorzystać np. dwuetapową weryfikację z wykorzystaniemmodułu PAM usługi Google Authenticator, życie cyberprzestępcówbyłoby znacznie trudniejsze.
