Odkrita Operacija Windigo

Varnostni raziskovalci iz ESET-a, CERT-Bund-a, švedskega nacionalnega urada za računalništvo (SNIC) in nekaterih drugih agencij, so razkrili razširjeno zlonamerno kampanjo, s katero so kiberkriminalci prevzeli nadzor nad 25.000 Unix strežniki po celem svetu.

Napadi, ki jih varnostni strokovnjaki imenujejo “Operacija Windigo”, so odgovorni za okužene strežnike, ki pošiljajo na milijone neželenih elektronskih sporočil. Gre za kompleksno zmes naprednih škodljivih programov, ki omogočajo oddaljen nadzor strežnikov, okužbo računalnikov, ki te strežnike obiskujejo in krajo informacij.

Med drugimi so bili žrtve “Operacije Windigo” tudi cPanel in kernel.org.

ESET-ova raziskovalna ekipa, ki je odkrila Windigo, je danes objavila podrobno tehnično analizo, ki razkriva preiskavo in analizo škodljive kode. Dokument vključuje tudi opis postopka, ki bo razkril, če so okuženi tudi vaši sistemi in navodila za odstranitev nevarne kode.

OPERACIJA WINDIGO: Nabiranje moči skozi dobra tri leta

Medtem, ko so nekateri strokovnjaki opazili posamezne elemente operacije Windigo, pa je velikosti in kompleksnosti same operacije ostala povečini neopažena.

“Windigo je nabiral moč več kot dve leti in pol, medtem pa varnostni strokovnjaki operacije povečini niso opazili. Trenutno ima pod nadzorom 10.000 strežnikov,” je povedal ESET-ov varnostni raziskovalec Marc-Étienne Léveillé. “Dnevno se razpošilja več kot 35 milijonov neželenih sporočil, ki nedolžnim uporabnikom polnijo e-poštne predale. Še hujše pa je dejstvo, da je nevarnim spletnim stranem, ki gostujejo na okuženih strežnikih, dnevno izpostavljenih pol milijona obiskovalcev. Škodljivi programi, ki so jih na spletne strežnike podtaknili avtorji v Operaciji Windigo, obiskovalce preusmerjajo k nevarnim izkoriščevalskim kompletom in nadležnim oglasom.”

Zanimivo je, da je izkoriščevalski komplet namenjen okuževanju obiskovalcev z operacijskimi sistemi Windows, uporabnikom Mac so prikazani oglasi za zmenkarije, uporabniki iPhone pa so preusmerjeni na strani s pornografsko vsebino.

Poziv sistemskim skrbnikom za ukrepanje proti Windigu

Več kot 60 % vseh spletnih strani gostuje na strežnikih Linux in ESET-ovi varnostni raziskovalci pozivajo skrbnike, da preverijo svoje sisteme pred morebitno okužbo.

“Sistemski skrbniki in drugi zaposleni v IT-ju imajo dovolj drugih skrbi, zato jim neradi povzročamo dodatno delo – ampak tu gre za pomembno zadevo. Vsak si želi biti dober uporabnik spleta in tu je vaša priložnost, da pomagate zaščititi druge uporabnike,” dodaja Léveillé. “Zadnja stvar, ki bi si jo moral vsak želeti je to, da je del težave, ki je odgovorna za širjenje nevarnih programov in neželene e-pošte. Nekaj vaših minut lahko naredi razliko in zagotovi, da ste del rešitve.”

Kako odkriti, če je vaš strežnik podlegel Operaciji Windigo

ESET-ovi raziskovalci so operacijo poimenovali po mitološkem stvoru Windigo iz legend severnoameriškega indijanskega plemena Algonkini, ki je bil kanibal. Ob tem apelirajo na vse skrbnike Unix sistemov in skrbnike spletnih gostovanj, naj uporabijo spodnji ukaz in odkrijejo, če je njihov sistem okužen:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

V kolikor skrbniki odkrijejo, da je njihov sistem okužen, predlagamo ponovno namestitev operacijskega sistema in programske opreme. Nujno je, da nato uporabite nova uporabniška imena in gesla, obstoječa pa smatrajte za odtujena.

Za višjo stopnjo varnosti v prihodnje pa razmišljajte o uvedbi tehnologije kot je dvo-faktorsko preverjanje pristnosti.

“Zavedamo se, da brisanje podatkov in nova namestitev operacijskih sistemov na strežnike ni enostavna, ampak, če so hekerji pridobili skrbniške podatke in imajo oddaljen nadzor nad vašimi strežniki, potem ne smete tvegati,” razlaga Léveillé. “Nekatere žrtve za katere vemo, da so okuženi smo o tem že obvestili, ampak na žalost še vedno niso storili nič, da bi očistili svoje sisteme. Tako še naprej ogrožajo spletne uporabnike.”

Nadaljnje informacije

ESET je objavil podrobno analizo operacije Windigo, več o tem najdete na naslovu

welivesecurity.com/windigo.

Zgodbi lahko sledite tudi na Facebooku, Google+ ali Twitterju, uporabite hashtag #windigo

ESET

ESET, eden izmed vodilnih proizvajalcev varnostnih rešitev tako za končne uporabnike kot za podjetja, je v letu 2012 praznoval 25. obletnico. V tem obdobju je razvil vrsto vrhunskih protivirusnih programov, med njimi tudi ESET NOD32 Antivirus, ki še vedno drži svetovni rekord v številu dobljenih nagrad organizacije Virus Bulletin »VB100«. Poleg tega je ESET prejel številne druge nagrade za svoje produkte, kot na primer od organizacij AV-Comparatives, AV Test in drugih. ESET NOD32 Antivirus, ESET Smart Security ali ESET Cybersecurity (za Mac) ostajajo prva izbira milijonov uporabnikov po vsem svetu.