Image
19.3.2014 0 Comments

Operácie Windigo: hackeri napadli 25-tisíc serverov. Výzva a návod systémovým administrátorom aby si skontrolovali tie svoje.

eset.jpg Bezpečnostní výskumníci zo spoločnosti ESET objavili spolu s nemeckým CERT-Bund, švédskym SNIC a ďalšími agentúrami rozsiahlu kybernetickú kriminálnu činnosť, ktorá celosvetovo prevzala kontrolu nad viac než 25-tisíckami unixových serverov. Niekoľko z nich sa nachádza aj na Slovensku a v Českej republike.

Útok, ktorý bezpečnostní experti pomenovali "operácia Windigo", mal za následok infikovanie serverov, ktoré rozosielali milióny spamových e-mailov. Komplexná skupina sofistikovaných komponentov škodlivého kódu bola vytvorená na prevzatie kontroly nad servermi, infikovanie počítačov, ktoré ich navštívia a na krádež informácií.

Medzi obeťami "operácie Windigo" bol aj jeden zo serverov cPanel-u. Ide softvér, ktorý umožňuje jednoduchšie spravovanie serverov a na nich hosťovaných webstránok. Linux nadácia oznámila, že útočníci skompromitovali niekoľko jej serverov a taktiež používateľov kernel.org, čo je hlavné úložisko zdrojového kódu linuxového jadra.

OPERÁCIA WINDIGO naberala na sile tri roky

Niektorí experti si časti Windigo kampane všimli, celá veľkosť a komplexnosť operácie však zostala bezpečnostnou komunitou nepovšimnutá.

"Windigo naberal na sile viac než dva a pol roka a momentálne má pod kontrolou 10-tisíc serverov," hovorí Marc-Étienne Léveillé, bezpečnostný výskumník spoločnosti ESET. "Denne je na e-mailové účty nevinných internetových používateľov týmto spôsobom odoslaných viac než 35 miliónov spamových e-mailov. Zaberajú im e-mailové schránky a vystavujú ich systémy riziku. Ešte horšie však je, že každý deň sa riziku vystavuje pol milióna počítačov, ktoré navštevujú webstránky infikované škodlivým kódom zameraným na webové servery. Tento škodlivý kód na ne umiestnili tvorcovia operácie Windigo, počítače sú týmto spôsobom presmerované na škodlivé exploit sady a reklamu," vysvetľuje Léveillé.

ESET_Windigo_iPhone.jpg

Zaujímavé je, že Windigom zasiahnuté webstránky sa pokúšajú infikovať počítače s Windowsom cez exploit sadu, používateľom Macov však podsúvajú reklamu na zoznamovacie webstránky a majitelia iPhonov sú presmerovávaní na stránky s pornografickým obsahom.

Výzva systémovým administrátorom

Viac než 60 percent webstránok na celom svete beží na linuxových serveroch. Výskumníci z ESETu preto apelujú na webmasterov a systémových administrátorov, aby skontrolovali svoje systémy.

ESET_Windigo_obete_podla_prehliadacov_SMALL.jpg

"Webmasteri a IT odborníci toho majú na práci dosť, preto im prácu neradi pridávame. Toto je však dôležité. Každý chce byť dobrým internetovým občanom a toto je vaša šanca hrať svoju úlohu a pomáhať chrániť internetových používateľov," hovorí Léveillé. "Zopár minút práce môže veľa zmeniť. Uistite sa, že ste súčasťou riešenia a nie problému."

Ako zistiť, že server napadol Windigo

Výskumníci ESETu, ktorí Windigo pomenovali podľa mýtického stvorenia severoamerických Indiánov Alqonquinov pre jeho kanibalistické sklony, apelujú na administrátorov unixových systémov a webmasterov, aby vo svojich systémoch zadali nasledovný príkaz, ktorý im povie, či boli ich servery skompromitované:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"


Horká pilulka pre obete Windiga

"Trójsky kôň Ebury použitý v operácii Windigo nezneužíva zraniteľnosti v Linuxe alebo v OpenSSH," pokračuje Léveillé. "Namiesto toho je útočníkom nainštalovaný manuálne. Mrazivý je fakt, že sa im to podarilo na desať tisícoch odlišných serverov. Na počítačoch je bežné používať antivírusové riešenie a dvojfaktorovú autentifikáciu, na serveroch sa však používajú zriedkavo. Sú preto náchylné na únik údajov a nasadenie škodlivého kódu."

ESET_Windigo_spamom_napadnute_krajiny_SMALL.jpg

Ak systémoví administrátori zistia, že ich systémy sú infikované, je im odporučené vymazať zasiahnuté počítače a preinštalovať operačný systém a softvér. Je dôležité, aby boli použité nové heslá a privátne šifrovacie kľúče. Existujúce musia byť považované za skompromitované.

Pre vyššiu úroveň ochrany pri vstupe do systémov by mali systémoví a web administrátori zvážiť použitie technológie dvojfaktorovej autentifikácie.

"Uvedomujeme si, že premazať server a začať od začiatku môže byť horkou pilulkou. Ak však hackeri ukradli vaše administrátorské loginy a majú vzdialený prístup k vašim serverom, nemôžete riskovať," vysvetľuje Léveillé. "Sme v kontakte s niektorými obeťami tohto útoku, ktoré vedia, že sú infikované. Pre vyčistenie svojich systémov však bohužiaľ nič nespravili, čo môže potenciálnemu riziku vystaviť ešte viac internetových používateľov."

ESET_Windigo_obete_podla_os_SMALL.jpg

Všetkým používateľom internetu pripomíname, aby jedno heslo nepoužívali do viacerých systémov a aby si ako heslo nevyberali ľahko uhádnuteľný reťazec.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Čo nás čaká v bezpečnosti v roku 2017?

19.01.2017 00:15

Tak ako postupuje svet technológií míľovými krokmi dopredu, objavujú sa nové výzvy a problémy v oblasti bezpečnosti. Okrem novej legislatívy, ako je GDPR (General Data Protection Regulation, regulácia ...

Bezpečnosť

Návrat k faxom? Sedem hlavných bezpečnostných trendov na rok 2017

17.01.2017 00:10

Podľa spoločnosti GFI Software budú v oblasti podnikovej IT bezpečnosti v roku 2017 pokračovať trendy minulého roka, ktorý môžeme v mnohých ohľadoch považovať za prelomový. Prudký nárast ransomvéru, k ...

Bezpečnosť

6 trendov najbližších rokov. Umelá inteligencia odhaľuje hackerov, fog computing a kolaborácia v cloude

13.01.2017 00:18

Rok 2016 jednoznačne potvrdil, že súčasný svet sa mení a digitalizácia sa dostáva do všetkých oblastí nášho života. Napríklad rozšírená realita umožnila milovníkom Pokémonov nachytať si svoje obľúbené ...

Žiadne komentáre

Vyhľadávanie

Kyocer TASK

Najnovšie videá