USD 65.59 ЕВРО 75.18

Исследователи обнаружили ботнет для кражи учётных данных на основе Unix-серверов

Экономика

Киберпреступники используют изощренные вредоносные программы для взлома тысяч Unix-серверов, рассылки спама и перенаправления половины миллиона веб-пользователей в день на вредоносный контент, сообщает компания безопасности.

Дублированная атака Operation Windigo продолжается в течение более чем двух с половиной лет, и скомпрометировала целых 25000 серверов, заявил во вторник разработчик антивирусного ПО ESET. Системы, инфицированные бэкдором Trojan, используются для кражи учетных данных, перенаправляя веб-трафика на вредоносное содержимое и отправки целых 35 миллионов спам-сообщений в день.

ботнеты

ESET исследовала преступную операцию в сотрудничестве с CERT-Bund и Swedish National Infrastructure for Computing. Взломанные серверы были найдены по всей территории США, Германии, Франции и Великобритании.

Операционные системы, пострадавшие от спамовского компонента операции, включают Linux, FreeBSD, OpenBSD, OS X и Windows. В мире более чем 60% веб-сайтов, работающих на серверах Linux, и исследователи ESET предупреждают вебмастеров и системных администраторов, чтобы они проверили свои системы на инфекцию.

ESET обнаружили, что все взломанные серверы были заражены через бэкдор Ebury OpenSSH. Сеть исключительно вирулентная, потому что каждая из систем имеет значительный канал, хранилище, вычислительную мощность и память.

Linux/Ebury является особенно скрытной вредоносной программой, говорит ESET. Её создатели осторожно разворачивают бэкдор, избегая при этом записи файлов в файловой системе. Они также не оставляют никаких следов в лог-файлах при использовании бэкдора.

Кроме того, вредоносные конфигурации, загруженные в системы, хранятся в памяти, так что если система будет перезагружена, конфигурация пропадёт. Это затрудняет проведение экспертизы для определения того, что создатели смогли сделать в системе.

«То, что вы в состоянии сделать с точки зрения экспертизы — проанализировать двоичные файлы, которые найдете в вредоносной программе, но вы не найдете конфигурацию», сказал исследователь безопасности ESET Марк-Атиен.

Для зашифрованного канала, создатели устанавливают бэкдор в экземпляре OpenSSH на серверах. OpenSSH или OpenBSD Secure Shell представляет собой набор компьютерных программ, использующих протокол SSH при предоставлении зашифрованного соединения через компьютерную сеть.

Способы сорвать вредоносную кампанию включают в себя использование двухфакторной аутентификации, что делает похищенные учетные данные непригодными. Установка обновлений операционной системы и установленного программного обеспечения также будет хорошей защитой.

Компьютеры, посещающие зараженный сервер и перенаправленные на вредоносные веб-страницы, встречаются с набором эксплойтов, который проверяет наличие более старого программного обеспечения с уязвимостями, которые можно использовать.