Cercetătorii de securitate de la ESET, în colaborare cu CERT-Bund, Infastructura Națională Suedeză pentru Tehnică de Calcul, precum şi alte agenţii, au demascat recent o campanie de infracţiuni cibernetice la scară largă, prin care atacatorii au preluat controlul a peste 25.000 de servere Unix, în întreaga lume.
Atacul, care a fost numit de către experții în securitate „Operațiunea Windigo”, a facut ca serverele infectate să trimită milioane de emailuri spam. Arhitectura complexă de componente malware foarte sofisticate a fost concepută pentru a deturna servere, a infecta calculatoarele care le vizitează și pentru a fura informații.
Printre victimele „Operațiunii Windigo” se numără cPanel și kernel.org.
Echipele de cercetare în domeniul securităţii din cadrul ESET care au descoperit Windigo, au publicat un document tehnic ce prezintă rezultatele investigațiilor și analiza malware în detaliu. Documentul oferă, de asemenea, îndrumări cu privire la modul în care se poate verifica dacă anumite sisteme sunt sau nu afectate și instrucțiuni pentru îndepărtarea codului maliţios.
Deşi unii experți au identificat elemente ale campaniei de infracţionalitate cibernetică Windigo, mărimea absolută și complexitatea operațiunii a rămas în mare parte nedepistată de către comunitatea de securitate.
„Windigo a acumulat din ce în ce mai multă putere, rămânând neobservat de către comunitatea de securitate vreme de doi ani și jumătate, și are în prezent sub controlul său 10.000 de servere”, a spus cercetatorul de securitate ESET Marc-Étienne Léveillé.” Peste 35 de milioane de mesaje spam sunt livrate în fiecare zi către conturile unor utilizatori neimplicaţi, aglomerând cutiile poștale electronice şi supunând unor riscuri suplimentare sistemele informatice în cauză. În plus, în fiecare zi, peste o jumătate de milion de calculatoare sunt supuse riscurilor de infectare, pentru că vizitează site-uri care sunt infectate de malware-ul specific pentru servere web plantat în cadrul operaţiunii Windigo, malware ce redirecționează către kit-uri exploit şi reclame insidios plasate.”
Un aspect interesant, deși site-urile afectate de către Windigo încearcă să infecteze cu malware sistemele bazate pe Windows care le vizitează, prin intermediul unui kit de exploit, utilizatorilor de Mac le sunt servite reclame cu portaluri matrimoniale în vreme ce de deţinătorii de iPhone sunt redirecționaţi de codul malware către site-uri care au conținut pornografic.
Un apel către administratorii de sistem
Peste 60% din site-urile din lume se execută pe servere Linux iar cercetătorii ESET fac apel la webmasterii și administratorii de sistem să îşi verifice sistemele pentru a vedea dacă au fost compromise.
„Webmasterii și personalul IT au deja în agenda zilnică o mulțime probleme şi lucruri generatoare de bătăi de cap, așa încât ne displace să le sugerăm să ia în calcul o nouă sarcină, dar acest lucru este important. Toată lumea vrea să fie un cetățean bun pe net și aceasta este șansa individuală a fiecăruia de a îşi juca rolul personal pentru a ajuta la protejarea altor utilizatori de internet”, spune Léveillé.” Ultimul lucru pe şi l-ar dori oricine ar fi să vrea să fie o parte a problemei, contribuind la răspândirea de malware și spam. Câteva minute pot face aşadar diferența, și vă asigură că sunteţi parte a soluției.”
Cum afli dacă serverul tău a căzut victimă reţelei Windigo
Cercetatorii ESET, care au numit Windigo după o creatura mitica din folclorul nativ American, fac apel la administratorii de sisteme Unix și webmasteri să ruleze comanda de mai jos, care le va comunica dacă serverul gestionat de către ei este compromis sau nu :
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo „System clean” || echo „System infected”
În cazul în care administratorii de sistem descoperă că sistemele lor sunt infectate, ei sunt sfătuiți să ștergă complet datele de pe computerele afectate și să reinstaleze sistemului de operare și software-ul de pe ele. Este esențial să fie folosite parole şi chei private noi, credenţialele existente putând fi considerate compromise.De asemenea, pentru un nivel superior de protecție, ar trebui să fie luată în considerare o tehnologie de autentificare bazată pe doi factori.
(Sursa: capital.ro)