Cercetătorii de securitate de la ESET®, în colaborare cu CERT-Bund, Infastructura Națională Suedeză pentru Tehnică de Calcul, precum şi alte agenţii, au demascat recent o campanie de infracţiuni cibernetice la scară largă, prin care atacatorii au preluat controlul a peste 25.000 de servere Unix, în întreaga lume.
Atacul, care a fost numit de către experții în securitate "Operațiunea Windigo", a facut ca serverele infectate să trimită milioane de emailuri spam. Arhitectura complexă de componente malware foarte sofisticate a fost concepută pentru a deturna servere, a infecta calculatoarele care le vizitează și pentru a fura informații.
Printre victimele "Operațiunii Windigo" se numără cPanel și kernel.org.
Echipele de cercetare în domeniul securităţii din cadrul ESET care au descoperit Windigo, au publicat un document tehnic ce prezintă rezultatele investigațiilor și analiza malware în detaliu. Documentul oferă, de asemenea, îndrumări cu privire la modul în care se poate verifica dacă anumite sisteme sunt sau nu afectate și instrucțiuni pentru îndepărtarea codului maliţios.
OPERAŢIUNEA Windigo: îşi întăreşte structura de peste trei ani
Deşi unii experți au identificat elemente ale campaniei de infracţionalitate cibernetică Windigo, mărimea absolută și complexitatea operațiunii a rămas în mare parte nedepistată de către comunitatea de securitate.
"Windigo a acumulat din ce în ce mai multă putere, rămânând neobservat de către comunitatea de securitate vreme de doi ani și jumătate, și are în prezent sub controlul său 10.000 de servere", a spus cercetatorul de securitate ESET Marc-Étienne Léveillé.” Peste 35 de milioane de mesaje spam sunt livrate în fiecare zi către conturile unor utilizatori neimplicaţi, aglomerând cutiile poștale electronice şi supunând unor riscuri suplimentare sistemele informatice în cauză. În plus, în fiecare zi, peste o jumătate de milion de calculatoare sunt supuse riscurilor de infectare, pentru că vizitează site-uri care sunt infectate de malware-ul specific pentru servere web plantat în cadrul operaţiunii Windigo, malware ce redirecționează către kit-uri exploit şi reclame insidios plasate."
Un aspect interesant, deși site-urile afectate de către Windigo încearcă să infecteze cu malware sistemele bazate pe Windows care le vizitează, prin intermediul unui kit de exploit, utilizatorilor de Mac le sunt servite reclame cu portaluri matrimoniale în vreme ce de deţinătorii de iPhone sunt redirecționaţi de codul malware către site-uri care au conținut pornografic.
Un apel către administratorii de sistem pentru a lua măsuri împotriva Windigo
Peste 60% din site-urile din lume se execută pe servere Linux iar cercetătorii ESET fac apel la webmasterii și administratorii de sistem să îşi verifice sistemele pentru a vedea dacă au fost compromise.
"Webmasterii și personalul IT au deja în agenda zilnică o mulțime probleme şi lucruri generatoare de bătăi de cap, așa încât ne displace să le sugerăm să ia în calcul o nouă sarcină, dar acest lucru este important. Toată lumea vrea să fie un cetățean bun pe net și aceasta este șansa individuală a fiecăruia de a îşi juca rolul personal pentru a ajuta la protejarea altor utilizatori de internet", spune Léveillé." Ultimul lucru pe şi l-ar dori oricine ar fi să vrea să fie o parte a problemei, contribuind la răspândirea de malware și spam. Câteva minute pot face aşadar diferența, și vă asigură că sunteţi parte a soluției."
Cum afli dacă serverul tău a căzut victimă reţelei Windigo
Cercetatorii ESET, care au numit Windigo după o creatura mitica din folclorul nativ American, fac apel la administratorii de sisteme Unix și webmasteri să ruleze comanda de mai jos, care le va comunica dacă serverul gestionat de către ei este compromis sau nu :
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Recuperare extrem de dificilă pentru victimele Windigo
"Backdoor-ul Ebury implicat de către operațiunea de criminalitate informatică Windigo nu exploatează o vulnerabilitate în Linux sau OpenSSH," a continuat Léveillé. " În schimb, el este instalat manual de către un atacator. Faptul că au reușit să facă acest lucru pe zeci de mii de servere diferite este cu adevărat îngrijorător. În timp ce software-ul antivirus și autentificarea bazată pe doi factori reprezintă ceva comun pe sistemele desktop, aceste metode sunt foarte rar folosite pentru a proteja servere, ceea ce le face vulnerabile în faţa furtului de credenţiale şi permite ușor implementarea de cod malware."
În cazul în care administratorii de sistem descoperă că sistemele lor sunt infectate, ei sunt sfătuiți să ștergă complet datele de pe computerele afectate și să reinstaleze sistemului de operare și software-ulde pe ele. Este esențial să fie folosite parole şi chei private noi, credenţialele existente putând fi considerate compromise.
De asemenea, pentru un nivel superior de protecție, ar trebui să fie luată în considerare o tehnologie de autentificare bazată pe doi factori.
"Ne dăm seama că ștergerea sistemului de operare de pe serverul dumneavoastră și reinstalarea aplicaţiilor de la zero este un remediu dificil de aplicat, dar în cazul în care hackerii au furat sau spart credenţialele de administrator și au avut acces de la distanță la serverele dvs. nu puteți să vă asumaţi riscuri suplimentare", explică Léveillé." Din păcate, unii dintre cei afectaţi, cu care am intrat în contact, şicare au aflat că sistemele lor sunt infectate, nu au făcut nimic până acum pentru curățarea sistemelor – expunând în continuare şi mai mulți utilizatori de internet la aceste riscuri."
Cu acest prilej, toți utilizatorii de computere ar fi util să îşi reamintească, că nu trebuie să reutilizeze parole sau să aleagă parole ușor de spart.
Informații suplimentare
ESET a publicat o investigație detaliată asupra "Operațiunii Windigo", precum și a diferitelor componente malware care alcătuiesc amenințarea.
Pentru a descărca raportul complet, vă rugăm să vizitați welivesecurity.com/windigo.
Pentru a urmări povestea în curs de dezvoltare pe Facebook , Google+ sau Twitter , utilizaţi hashtag-ul #windigo