В ходе крупнейшей кибератаки в России были заражены 800 Linux-серверов

Безопасность MWC 2014 Администратору
мобильная версия
, Текст: Сергей Попсулин
Из 25 тыс. серверов, зараженных в ходе массивной кибератаки Windigo, 800 находились в России. Специалисты указывают на высокий профессионализм организаторов кампании, которым удалось охватить различные операционные системы и устройства.

Не менее 800 серверов в России были заражены в ходе кибератаки Windigo, сообщает Eset. Россия входит в число стран, где находится больше всего атакованных серверов, добавили в антивирусной компании.

Эксперты выяснили, что в кибератаке Windigo было задействовано шесть видов вредоносного ПО и сервисов. При этом Россия занимает восьмую строку списка государств, где находятся серверы, зараженные трояном Linux/Ebury, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от трояна Perl/Calfbot.

Троян Linux/Ebury компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH. В свою очередь, Perl/Calfbot компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, и отвечает за рассылку спама.

Операция Windigo началась предположительно в 2011 г. В течение нескольких лет ее организаторам удалось скомпрометировать более 25 тыс. Linux- и UNIX-серверов и широкий спектр операционных систем, включая Windows, OS X, OpenBSD, FreeBSD и Linux. В числе пострадавших от Windigo такие организации, как cPanel и Linux Foundation.

«Мы установили, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов, – говорит Марк-Этьен Левейе (Marc-Etienne Leveille), вирусный аналитик Eset. – Использование антивирусных продуктов и механизмов двухфакторной аутентификации для рабочих станций является обычным явлением, но, к сожалению, эти способы редко применяют для защиты серверов. Как следствие – злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей».

Для получения доступа к серверам авторы Windigo не использовали какие-либо уязвимости – только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин.

Географическое распространение Linux/Ebury (число зараженных машин)


Сегодня в мире используется порядка 10 тыс. зараженных серверов. Ежедневно на набор эксплойтов перенаправляются свыше 500 тыс. посетителей скомпрометированных сайтов. Windigo отвечает также за рассылку порядка 35 млн спам-писем в день.

Веб-сайты, которые обслуживаются зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной операционной системы. Так, компьютеры с Windows заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему. Пользователь OS X будет перенаправлен на сайт знакомств, а iPhone — на страницу с порнографическим контентом.

Распространение Perl/Calfbot среди машин с различными ОС


Участники рабочей группы Eset отмечают, что вредоносные программы Windigo разработаны на достаточно высоком уровне. В них используются техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Если система заражена, потребуется полная очистка памяти, переустановка операционной системы и всего программного обеспечения. Необходимо также сменить все используемые пароли и ключи, поскольку существующие учетные данные могут быть скомпрометированы, отмечают эксперты.