ESET: Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX

Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем.

Windigo: типичный сценарий получения пароля
Windigo: типичный сценарий получения пароля / Иллюстрация с сайта Welivesecurity.Com

По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:

  • Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
  • Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
  • Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).

Примечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться.

Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в этом отчете (PDF; 3,5 Мб).

Автор: Дмитрий Шурупов по материалам ESET Ireland Blog.



Коды для вставки в блог\форум




Интересные новости
Windows 10 без разрешения пользователей устанавливает веб-версии офисных приложений MicrosoftWindows 10 без разрешения пользователей устанавливает веб-версии офисных приложений Microsoft
Блок рекламы


Похожие новости

Safari начнёт отклонять HTTPS-сертификаты со сроком действия более 13 месяцевSafari начнёт отклонять HTTPS-сертификаты со сроком действия более 13 месяцев
Google удалил более 500 вредоносных расширений из Chrome Web StoreGoogle удалил более 500 вредоносных расширений из Chrome Web Store
В драйверах более 40 производителей оборудования нашли уязвимости
ESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-мESET обнаружила в Украине новый вирус, похожий на тот, что обесточил Прикарпатье в 2015-м
Windows 10 установлена более чем на 700 млн устройствWindows 10 установлена более чем на 700 млн устройств
Фейковые адблокеры в Chrome Web Store собрали более 20 млн установокФейковые адблокеры в Chrome Web Store собрали более 20 млн установок
Хакеры заразили тысячи компьютеров майнером Monero. Им удалось заработать более $3 млн
GNOME 3.26 — значимое обновление популярной рабочей среды для Linux/UNIX-системGNOME 3.26 — значимое обновление популярной рабочей среды для Linux/UNIX-систем
Создатели WannaCry вывели $140 тысяч, полученных от жертв атакиСоздатели WannaCry вывели $140 тысяч, полученных от жертв атаки
70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности70 тысяч серверов memcached в интернете подвержены уязвимости 8-месячной давности
Последние новости

Подгружаем последние новости