ESET: Операция Windigo заразила более 25 тысяч серверов на Linux/UNIX
Исследователи из антивирусной компании ESET со своими коллегами из нескольких европейских агентств зафиксировали в сети крупную атаку «Операция Windigo», которая привела к заражению более 25 тысяч серверов, работающих под управлением ОС GNU/Linux и других UNIX-подобных систем.
По данным отчета, операция Windigo началась еще в конце 2011 года и с тех пор успела найти свое «применение» в инфраструктуре многих организаций (в том числе — cPanel и Linux Foundation) и на широком спектре ОС: Linux (около 60 %), FreeBSD, OpenBSD, Mac OS X и даже Windows через Cygwin. В рамках этой операции ESET рассматривает три основных зловредных компонента, заражающих серверные системы:
- Ebury — бэкдор к OpenSSH для управления сервером и получения учетных данных системных пользователей;
- Cdorked — бэкдор к веб-серверам (Apache, nginx, lighttpd) для перенаправления веб-трафика;
- Calfbot — Perl-скрипт для рассылки спама (он «виноват» в ежедневной отправке более 35 миллионов спам-сообщений по всему миру).
Примечательно, что для достижения своих целей злоумышленники не эксплуатируют уязвимости в безопасности программного обеспечения — для этого использовались лишь различные способы получения паролей для SSH-доступа. В связи с этим, авторы исследования высказывают мнение, что аутентификация на серверах по паролю — архаизм, от которого пора отказаться.
Подробное исследование операции Windigo с хронологией событий и техническими деталями обнаруженных проблем опубликованы в этом отчете (PDF; 3,5 Мб).
Автор: Дмитрий Шурупов по материалам ESET Ireland Blog.
