Operacija Windigo: Svakodnevni napadi sa 25000 zaraženih UNIX servera na pola miliona računara

Vesti, 19.03.2014, 08:04 AM

Stručnjaci kompanije ESET u saradnji sa evropskim organizacijama, nemačkim nacionalnim timom za hitan odgovor na sajber napade (CERT-Bund), evropskom organizacijom za nukelarna istraživanja CERN i drugim agencijama, otkrili su veliku kriminalnu operaciju u okviru koje je zaraženo više od 25000 UNIX servera koji su zloputrebljeni tokom prethodne dve godine za masovno spam emailova.

Istragu o operaciji koja je nazvana Windigo, prema mitskom biću američkih Indijanaca, ESET je započeo pre godinu dana, a stručnjaci kompanije veruju da je operacija ostala neprimećena dve i po godine. Tokom operacije je zaraženo 25000 servera, od kojih je 10000 servera još uvek zaraženo.

Zaraženi serveri su korišćeni za slanje 35 miliona spam emailova na dnevnom nivou, čime je oko pola miliona računara bilo izloženo riziku od infekcije malverom.

Hakeri su koristili preotete servere i za infekciju Windows računara čiji su korisnici posećivali sajtove koji su inficirani malverom i preusmeravani do malicioznih exploit alata i reklama. Serveri su korišćeni i za prikazivanje reklama za web sajtove za online upoznavanje korisnicima Mac računara.

Čak i korisnici smart telefona nisu pošteđeni u ovoj operaciji jer su, na primer, korisnici iPhone uređaja presumeravani na pornografski sadržaj.

Za preuzimanje kontrole nad serverima i infekciju računara, napadači su koristili mešavinu malicioznih komponenata, uključujući i Linux/Ebury (OpenSSH backdoor koji krade kredencijale), Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M i Win32/Boaxxe.G.

Samo tokom jednog vikenda, ESET je primetio više od milion IP adresa koje su prošle kroz Windigo infrastrukturu, pre nego što su bile preusmerene na servere koji hostuju exploit alate.

Većina zaraženih servera se nalazi u SAD, Velikoj Britaniji, Nemačkoj i Francuskoj.

Iz ESET-a kažu da je ovo najveća bot mreža servera koju su ikada videli. Oni su odlučili da istraže ovu operaciju i zbog toga što kriminalne operacije koje se baziraju na Linux malverima nisu nešto što se viđa svakog dana, posebno kompleksne operacije kao što je operacija Windigo.

Iz ESET-a kažu da napredni malver kakav je ovaj korišćen u operaciji Windigo na žalost zahteva brisanje zaraženih sistema i ponovnu instalaciju operativnog sistema i programa. Oni ističu da neke od žrtava sa kojima je ESET u kontaktu znaju da su zaraženi, ali da nisu učinili ništa da očiste svoje sisteme čime su izložili riziku veliki broj korisnika interneta.

Stručnjaci kažu da za sada ne znaju ko stoji iza ove operacije, ali ono što je jasno da je reč o iskusnim i veštim programerima koji dobro poznaju Linux.

Više tehničkih detalja o operaciji Windigo možete naći u dokumentu (pdf) koji je ESET objavio na svom sajtu.