Windigo: Infikované servery denně rozesílají 35 milionů spamů

Kyberzločinci ovládli síť linuxových serverů. I po odhalení stále zůstává 10.000 strojů, které mohou být zneužívány ke kriminální činnosti.

Windigo: Infikované servery denně rozesílají 35 milionů spamů


Analytici společnosti Eset se - společně s kolegy z organizací Cert-Bund, Swedish National Infrastructure for Computing a dalších - podíleli na rozkrytí největší světové sítě infikovaných internetových serverů. Za infekcí stojí malware s označením Linux/Ebury, který byl zjištěn již v roce 2011.

Počet serverů, ovládnutých v rámci útoku, který byl pojmenován „Operace Windigo“, bylo 25.000 a nacházely se především v USA, Velké Británii a v Německu. Většinu jejich správci po upozornění vyčistili, ale deset tisíc serverů útočníci stále ještě ovládají a nadále zneužívají ke kriminální činnosti.

Operace Windigo je unikátní tím, že cílem útoku nebyly počítače uživatelů, ale přímo servery. „Sítě ovládaných počítačů, takzvané botnety, jsou bohužel docela běžné. Ale takhle rozsáhlá síť ovládaných serverů představuje obrovský výpočetní výkon a přenosovou kapacitu, což z ní dělá významnou hrozbu,“ komentuje Petr Šnajdr, bezpečnostní expert společnosti Eset.

Cílem Operace Windigo byly servery s operačním systémem Linux, které představují 60 procent ze všech internetových serverů. Klíčovou komponentou útoku je trojan Linux/Ebury. Ovládnutí serverů však nebylo založeno na zneužití nějaké bezpečnostní díry v systému. Útoky spočívaly ve zneužití přístupových oprávnění administrátorů, která se se útočníkům podařilo získat. Je zatím záhadou, jak se mohlo podařit získat přístupové údaje v tak masivním měřítku, a jak je možné, že tato operace zůstala tak dlouho bez povšimnutí. V každém případě je ale jasné, že pouhé heslo – jakkoli složité a třeba i často obměňované – k zabezpečené serveru prostě nestačí. Experti společnosti Eset doporučují uvážit dvoufaktorovou autentizaci.

Ovládané servery slouží především k rozesílání spamu – aktuálně je to 35 miliónu nevyžádaných zpráv denně. Jejich další využití závisí na operačním systému počítače, který k danému serveru přistupuje. V případě platformy Windows se servery snaží hledat díry v zabezpečení a implantovat do počítače malware. Každý den to infikované servery zkoušejí na půl milionu počítačů; úspěšnost se podle expertů z laboratoří společnosti Eset pohybuje okolo jednoho procenta. V případě platformy MAC nebo iOS servery přesměrovávají návštěvníky na internetové seznamky nebo pornografické stránky.

Síť ovládaných serverů by nejspíš bylo možné zneužít k cílenému zahlcování počítačů, tedy k takzvaným DDoS útokům. Naštěstí zatím nejsou známky, že by se tak dělo, ale je to o důvod víc, aby správci serverů dbali na zabezpečení, varují odborníci.

Kontrola, zde server není ovládán útočníky v rámci Operace Windigo není složitá. Stačí jednoduchý dotaz zadaný do terminálu; postup je, spolu s dalšími technickými informacemi, k nalezení na welivesecurity.com/windigo. U infikovaných systémů se doporučuje reinstalace.

Čtěte také:
→ Rok 2013: nejvíce bezpečnostních hrozeb v historii IT
Analýza odhaduje, že pro boj s kybernetickým zločinem bude v roce 2014 na celém světě chybět milion IT specialistů. Kdo se specializuje na počítačovou bezpečnost, asi nebude mít problém s uplatněním.
→ Uživatelé počítačů Mac jsou ohroženi malwarem
Nejnovější malware sleduje login uživatele k bitcoinovým účtům a kompromituje přihlašovací údaje.

G+


Úvodní foto: © lolloj - Fotolia.com




Komentáře