nixp.ru v3.0

24 ноября 2024,
воскресенье,
08:02:28 MSK

20 марта 2014, 11:03

ESET: Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX

Windigo: типичный сценарий получения пароля
Windigo: типичный сценарий получения пароля
Иллюстрация с сайта Welivesecurity.Com

Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем.

По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:

  • Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
  • Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
  • Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).

Примечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться.

Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в этом отчете (PDF; 3,5 Мб).

Постоянная ссылка к новости: http://www.nixp.ru/news/12388.html. Дмитрий Шурупов по материалам ESET Ireland Blog.

fb twitter vk