Επιχείρηση Windigo. Αιχμάλωτοι 25.000 Unix servers παγκοσμίως λέει η ESET

Πεμ, 20/03/2014 - 19:49 — voltmod

Οι ερευνητές της ESET σε συνεργασία με το CERT-Bund, το Σουηδικό εθνικό φορέα Πληροφορικής, καθώς και με τη συμμετοχή και άλλων φορέων, ανακάλυψαν μία εκτεταμένη κακόβουλη εκστρατεία κυβερνοεγκλήματος, η οποία κατέλαβε τον έλεγχο σε περισσότερους από 25.000 Unix servers παγκοσμίως.

Η επίθεση, που ονομάστηκε από τους ειδικούς ασφάλειας "Επιχείρηση Windigo", είχε ως αποτέλεσμα την αποστολή εκατομμυρίων spam email από μολυσμένους servers. Η πολύπλοκη σύνθεση της, αποτελούμενη από εξελιγμένα στοιχεία malware, σχεδιάστηκε με στόχο να επιτίθεται σε servers, να μολύνει τους υπολογιστές που τους επισκέπτονται, και να υποκλέβει πληροφορίες. Μεταξύ των θυμάτων της "Επιχείρηση Windigo", συγκαταλέγονται οι cPanel και kernel.org.

Η ομάδα ερευνητών της ESET, η οποία ανακάλυψε το Windigo, προχώρησε σήμερα στην έκδοση μίας λεπτομερούς τεχνικής έκθεσης με τα ευρήματα της έρευνας και την ανάλυση του κακόβουλου λογισμικού. Η έκθεση περιλαμβάνει επίσης οδηγίες για να ανακαλύψουν οι χρήστες αν τα συστήματα τους έχουν μολυνθεί και πώς να απομακρύνουν τον κακόβουλο κωδικό.

ΕΠΙΧΕΙΡΗΣΗ WINDIGO: Συγκέντρωνε τις δυνάμεις της εδώ και τρία χρόνια

Παρότι έχουν εντοπίστει στοιχεία της εκστρατείας μόλυνσης Windigo, σε ένα μεγάλο βαθμό το ακριβές μέγεθος και η πολυπλοκότητά της δεν έχουν γίνει ακόμη γνωστά στην κοινότητα ειδικών ασφάλειας.

"Το Windigoσυγκέντρωνε δυνάμεις, χωρίς να έχει πέσει στην αντίληψη της κοινότητας των ειδικών ασφάλειας, για περισσότερα από δυόμιση χρόνια, έχοντας πλέον υπό τον έλεγχο του 10.000 servers" δήλωσε ο ερευνητής της ESET, Marc-Étienne Léveillé. "Καθημερινά, στέλνονται περισσότερα από 35 εκατομμύρια μηνύματα spamστους λογαριασμούς ανυποψίαστων χρηστών, φράζοντας τον φάκελο εισερχομένων και θέτοντας σε κίνδυνο τα υπολογιστικά συστήματα. Ακόμη χειρότερα, κάθε μέρα μισό εκατομμύριο υπολογιστές βρίσκονται σε κίνδυνο, καθώς επισκέπτονται websitesπου έχουν μολυνθεί από malwareπου έχει εγκαταστήσει η Επιχείρηση Windigo, ανακατευθύνοντάς τους σε κακόβουλα exploitkitsκαι διαφημίσεις".

Αξίζει να σημειωθεί ότι, παρόλο που οι μολυσμένοι από το Windigo ιστότοποι προσπαθούν να μολύνουν τους υπολογιστές χρηστών Windows που τους επισκέπτονται μέσω ενός exploit kit, οι χρήστες Mac λαμβάνουν διαφημίσεις για sites γνωριμιών και οι κάτοχοι iPhone ανακατευθύνονται σε διαδικτυακούς τόπους με περιεχόμενο για ενηλίκους.

Έκκληση προς τους Διαχειριστές για άμεση δράση

Πάνω από το 60% των websites παγκοσμίως χρησιμοποιούν servers Linux, και οι ερευνητές της ESET εφιστούν την προσοχή σε webmasters και διαχειριστές να ελεγξουν τα συστήματα τους για παραβίαση.

"Οι webmasters και τα τμήματα IT έχουν ήδη μεγάλο φόρτο και πολλές ευθύνες, και δεν θέλουμε να τους προσθέτουμε επιπλέον, αλλά αυτό είναι πραγματικά σημαντικό. Όλοι θέλουν να είναι καλοί διαδικτυακοί πολίτες, και τώρα είναι η ευκαιρία να παίξουν το ρόλο τους και να βοηθήσουν στην προστασία και των υπόλοιπων χρηστών του διαδικτύου" επισημαίνει ο Léveillé. "Το τελευταίο πράγμα που θα ήθελε ο οποιοσδήποτε είναι να είναι μέρος του προβλήματος, συνεισφέροντας στη διάδοση malwareκαι spam. Μερικά λεπτά μπορούν να κάνουν τη διαφορά, και να διασφαλίσουν ότι αποτελεί μέρος της λύσης".

Πώς καταλαβαίνουμε ότι ο Server έχει πέσει θύμα του Windigo

Οι ερευνητές της ESET, που έδωσαν την ονομασία Windigo από ένα μυθικό πλάσμα της φυλής Algonquian στην Αμερική, λόγω της κανιβαλιστικής του φύσης, συμβουλεύουν τους διαχειριστές συστημάτων Unix system και τους webmasters να τρέξουν την ακόλουθη εντολή για να διαπιστώσουν αν ο server τους έχει παραβιαστεί ή όχι:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Σκληρή η αγωγή για τα θύματα του Windigo

"Το backdoor Ebury, που έχει αναπτυχθεί από την Επιχείριση Windigo, δεν εκμεταλλεύεται αδυναμίες σε Linuxή OpenSSH", συνεχίζει ο Léveillé. "Αντίθετα, εγκαθίσταταιχειροκίνητααπότονκακόβουλοεισβολέα. Το γεγονός ότι έχουν κατορθώσει να κάνουν την ενέργεια αυτή σε δεκάδες χιλιάδες διαφορετικούς serversείναι τρομακτικό. Ενώ το anti-virusκαι η πιστοποίηση διπλού παράγοντα είναι συνηθισμένα για τους υπολογιστές, σπάνια χρησιμοποιούνται για την προστασία των servers, καθιστώντας τους ευάλωτους στην υποκλοπή διαπιστευτηρίων και την εύκολη εγκατάσταση του κακόβουλου λογισμικού".

Αν οι διαχειριστές ανακαλύψουν ότι τα συστήματά τους έχουν μολυνθεί, συνιστάται να σβήσουν τους μολυσμένους υπολογιστές και να εγκαταστήσουν από την αρχή το λειτουργικό σύστημα και το λογισμικό. Είναι απαραίτητο να χρησιμοποιηθούν καινούρια passwords και ιδιωτικά κλειδιά, καθώς τα υπάρχοντα θα πρέπει να θεωρηθούν ως παραβιασμένα. Για υψηλότερα επίπεδα προστασίας στο μέλλον, συνιστάται η χρήση τεχνολογίας πιστοποίησης διπλού παράγοντα.

"Το σβήσιμο του server και η εγκατάστασή του από την αρχή είναι σίγουρα μία σκληρή αγωγή, αλλά αν οι hackers έχουν κλέψει ή παραβιάσει τα διαπιστευτήρια διαχείρισης και έχουν απομακρυσμένη πρόσβαση στους servers σας, δεν μπορείτε να το διακινδυνεύσετε" εξηγεί ο Léveillé. "Δυστυχώς, κάποια από τα θύματα με τα οποία ήρθαμε σε επαφή γνωρίζουν ότι έχουν μολυνθεί, αλλά δεν έχουν κάνει κάποια ενέργεια για να καθαρίσουν τα συστήματά τους – θέτοντας πιθανώς περισσότερους χρήστες του internetσε κίνδυνο".

Υπενθυμίζεται ότι όλοι οι χρήστες πρέπει να αποφεύγουν να ξαναχρησιμοποιούν ή να επιλέγουν κωδικούς που είναι εύκολο να παραβιαστούν.

Επιπλέον πληροφορίες

Η ESET έχει εκδόσει αναλυτική έρευνα για την «Επιχείρηση Windigo» και τα κακόβουλα συστατικά στοιχεία που συνθέτουν την απειλή. Η πλήρης έκθεση είναι διαθέσιμη στο link welivesecurity.com/windigo, ενώ για όλες τις πρόσφατες εξελίξεις σε Facebook, Google+ ή Twitter, οι ενδιαφερόμενοι μπορούν να ακολουθήσουν το hashtag #windigo.