Noutați

OPERAŢIUNEA WINDIGO: Malware folosit pentru a ataca peste 500.000 de calculatoare zilnic, după ce 25.000 de servere UNIX au fost deturnate de către un troian

25-03-2014

Cercetatorii de securitate de la ESET®, în colaborare cu CERT-Bund, Infastructura Națională Suedeză pentru Tehnică de Calcul, precum şi alte agenţii, au demascat o campanie de infracţiuni cibernetice la scară largă, prin care atacatorii au preluat controlul a peste 25.000 de servere Unix, în întreaga lume.


Atacul, care a fost numit de către experții în securitate "Operațiunea Windigo", a facut ca serverele infectate să trimită milioane de emailuri spam. Arhitectura complexă de componente malware foarte sofisticate a fost concepută pentru a deturna servere, a infecta calculatoarele care le vizitează și pentru a fura informații.


Printre victimele "Operațiunii Windigo" se numără cPanel și kernel.org.


Echipele de cercetare în domeniul securităţii din cadrul ESET, care au descoperit Windigo, au publicat un document tehnic detaliat, care prezintă rezultatele investigațiilor echipei și analiza malware. Documentul oferă, de asemenea, îndrumări cu privire la modul prin care se poate a verifica dacă anumite sisteme sunt sau nu afectate și instrucțiuni pentru îndepărtarea codului maliţios.


OPERAŢIUNEA Windigo:  îşi întăreşte structura de peste trei ani
Deşi unii experți au identificat elemente ale campaniei  de infracţionalitate cibernetică Windigo, mărimea absolută și complexitatea operațiunii a rămas în mare parte nedepistată de către comunitatea de securitate.


"Windigo a acumulat din ce în ce mai multă putere, rămânând neobservat de către comunitatea de securitate  vreme de doi ani și jumătate, și are în prezent sub controlul său 10.000 de servere", a spus cercetatorul de securitate ESET Marc-Étienne Léveillé.” Peste 35 de milioane de mesaje spam sunt livrate în fiecare zi către conturile unor utilizatori neimplicaţi, aglomerând cutiile poștale electronice şi supunând unor riscuri suplimentare sistemele informatice în cauză. În plus, în fiecare zi, peste o jumătate de milion de calculatoare sunt supuse riscurilor de infectare, pentru că vizitează site-uri care sunt infectate de malware-ul specific pentru servere web plantat în cadrul operaţiunii Windigo, malware ce redirecționează către kit-uri exploit şi reclame insidios plasate."


Un aspect interesant, deși site-urile afectate de către Windigo încearcă să infecteze cu malware sistemele bazate pe Windows care le vizitează, prin intermediul unui kit de exploit, utilizatorilor de Mac le sunt servite reclame cu portaluri matrimoniale în vreme ce de deţinătoriide iPhone sunt redirecționaţi de codul malware către site-uri care au conținut pornografic.


Un apel către administratorii de sistem pentru a lua măsuri împotriva Windigo

Peste 60% din site-urile din lume se execută pe servere Linux iar cercetătorii ESET fac apel la webmasterii și administratorii de sistem să îşi verifice sistemele pentru a vedea dacă au fost compromise.


"Webmasterii și personalul IT au deja în agenda zilnică o mulțime probleme şi lucruri dătătoare de dureri de cap, așa încât  ne displace să le sugerăm să ia în calcul o nouă sarcină, dar acest lucru este important. Toată lumea vrea să fie un cetățean bun pe net și aceasta este șansa  individuală a fiecăruia de a îşi  juca rolul personal pentru a ajuta la protejarea altor utilizatori de internet", spune Léveillé." Ultimul lucru pe şi l-ar dori oricine ar fi să vrea să fie o parte a problemei, contribuind la răspândirea de malware și spam. Câteva minute pot face aşadar diferența, și vă asigură că sunteţi parte a soluției."


Cum afli dacă serverul tău a căzut victimă reţelei Windigo
Cercetatorii ESET, care au numit Windigo după o creatura mitica din folclorul nativ American, fac apel la administratorii de sisteme Unix și webmasteri să ruleze comanda de mai jos, care le va comunica dacă serverul gestionat de către ei este compromis sau nu:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Recuperare extrem de dificilă pentru victimele Windigo
"Backdoor-ul Ebury implicat de către operațiunea de criminalitate informatică Windigo nu exploatează o vulnerabilitate în Linux sau OpenSSH," a continuat Léveillé. " În schimb, este instalat manual de către un atacator. Faptul că au reușit să facă acest lucru pe zeci de mii de servere diferite este cu adevărat îngrijorător. În timp ce software-ul anti-virus și autentificarea bazată pe doi factori reprezintă ceva comun pe sistemele desktop, aceste metode sunt foarte rar folosite pentru a proteja servere, ceea ce le face vulnerabile în faţa furtului de credenţiale şi permite ușor implementarea de cod malware."


În cazul în care administratorii de sistem descoperă că sistemele lor sunt infectate, ei sunt sfătuiți să ștergă complet informaţia de pe computerele afectate și să reinstaleze sistemului de operare și software-ul de pe ele. Este esențial să fie folosite parole şi chei private noi, credenţialele existente putând fi considerate compromise.


Pentru un nivel superior de protecție, ar trebui să fie luată în considerare o tehnologie de autentificare bazată pe doi factori.
"Ne dăm seama că ștergerea server-ul dumneavoastră și reinstalarea aplicaţiilor de la zero este un remediu greu de aplicat, dar în cazul în care hackerii au furat sau spart credenţialele de administrator și au avut acces de la distanță la serverele dvs. nu puteți să vă asumaţi riscuri suplimentare", explică Léveillé." Din păcate, unii dintre cei afectaţi, cu care am intrat în contact, știu acum că sistemele lor sunt infectate, însă nu au făcut nimic pentru curățarea sistemelor – expunând şi mai mulți utilizatori de internet la numeroase riscuri."


Toți utilizatorii de computere trebuie să îşi reamintească cu acest prilej, că nu ar trebui să reutilizeze parole sau să aleagă parole ușor de spart.


Informații suplimentare
ESET a publicat o investigație detaliată asupra "Operațiunii Windigo", precum și a diferitelor componente malware care alcătuiesc amenințarea.
Pentru a descărca raportul complet, vă rugăm să vizitați welivesecurity.com/windigo.
Pentru a urmări povestea în curs de dezvoltare pe Facebook , Google+ sau Twitter , #windigo