WINDIGO: Malware-ul folosit pentru a ataca peste 500.000 de calculatoare zilnic

[Aerosol]

25.000 DE SERVERE UNIX AU FOST DETURNATE DE C?TRE UN TROIAN.

WINDIGO_SM_Picture

Cercetatorii de securitate de la ESET®, în colaborare cu CERT-Bund, Infastructura Na?ional? Suedez? pentru Tehnic? de Calcul, precum ?i alte

agen?ii, au demascat o campanie de infrac?iuni cibernetice la scar? larg?, prin care atacatorii au preluat controlul a peste 25.000 de servere Unix, în întreaga lume.

Atacul, care a fost numit de c?tre exper?ii în securitate “Opera?iunea Windigo”, a facut ca serverele infectate s? trimit? milioane de emailuri spam. Arhitectura complex? de componente malware foarte sofisticate a fost conceput? pentru a deturna servere, a infecta calculatoarele care le viziteaz? ?i pentru a fura informa?ii.

Printre victimele “Opera?iunii Windigo” se num?r? cPanel ?i kernel.org.

Echipele de cercetare în domeniul securit??ii din cadrul ESET, care au descoperit Windigo, au publicat un document tehnic detaliat, care prezint? rezultatele investiga?iilor echipei ?i analiza malware. Documentul ofer?, de asemenea, îndrum?ri cu privire la modul prin care se poate a verifica dac? anumite sisteme sunt sau nu afectate ?i instruc?iuni pentru îndep?rtarea codului mali?ios.

OPERA?IUNEA Windigo: î?i înt?re?te structura de peste trei ani

De?i unii exper?i au identificat elemente ale campaniei de infrac?ionalitate cibernetic? Windigo, m?rimea absolut? ?i complexitatea opera?iunii a r?mas în mare parte nedepistat? de c?tre comunitatea de securitate.

“Windigo a acumulat din ce în ce mai mult? putere, r?mânând neobservat de c?tre comunitatea de securitate vreme de doi ani ?i jum?tate, ?i are în prezent sub controlul s?u 10.000 de servere”, a spus cercetatorul de securitate ESET Marc-Étienne Léveillé.” Peste 35 de milioane de mesaje spam sunt livrate în fiecare zi c?tre conturile unor utilizatori neimplica?i, aglomerând cutiile po?tale electronice ?i supunând unor riscuri suplimentare sistemele informatice în cauz?. În plus, în fiecare zi, peste o jum?tate de milion de calculatoare sunt supuse riscurilor de infectare, pentru c? viziteaz? site-uri care sunt infectate de malware-ul specific pentru servere web plantat în cadrul opera?iunii Windigo, malware ce redirec?ioneaz? c?tre kit-uri exploit ?i reclame insidios plasate.”

Un aspect interesant, de?i site-urile afectate de c?tre Windigo încearc? s? infecteze cu malware sistemele bazate pe Windows care le viziteaz?, prin intermediul unui kit de exploit, utilizatorilor de Mac le sunt servite reclame cu portaluri matrimoniale în vreme ce de de?in?toriide iPhone sunt redirec?iona?i de codul malware c?tre site-uri care au con?inut pornografic.

Un apel c?tre administratorii de sistem pentru a lua m?suri împotriva Windigo

Peste 60% din site-urile din lume se execut? pe servere Linux iar cercet?torii ESET fac apel la webmasterii ?i administratorii de sistem s? î?i verifice sistemele pentru a vedea dac? au fost compromise.

“Webmasterii ?i personalul IT au deja în agenda zilnic? o mul?ime probleme ?i lucruri d?t?toare de dureri de cap, a?a încât ne displace s? le suger?m s? ia în calcul o nou? sarcin?, dar acest lucru este important. Toat? lumea vrea s? fie un cet??ean bun pe net ?i aceasta este ?ansa individual? a fiec?ruia de a î?i juca rolul personal pentru a ajuta la protejarea altor utilizatori de internet”, spune Léveillé.” Ultimul lucru pe ?i l-ar dori oricine ar fi s? vrea s? fie o parte a problemei, contribuind la r?spândirea de malware ?i spam. Câteva minute pot face a?adar diferen?a, ?i v? asigur? c? sunte?i parte a solu?iei.”

Cum afli dac? serverul t?u a c?zut victim? re?elei Windigo

Cercetatorii ESET, care au numit Windigo dup? o creatura mitica din folclorul nativ American, fac apel la administratorii de sisteme Unix ?i webmasteri s? ruleze comanda de mai jos, care le va comunica dac? serverul gestionat de c?tre ei este compromis sau nu:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Recuperare extrem de dificil? pentru victimele Windigo

“Backdoor-ul Ebury implicat de c?tre opera?iunea de criminalitate informatic? Windigo nu exploateaz? o vulnerabilitate în Linux sau OpenSSH,” a continuat Léveillé. ” În schimb, este instalat manual de c?tre un atacator. Faptul c? au reu?it s? fac? acest lucru pe zeci de mii de servere diferite este cu adev?rat îngrijor?tor. În timp ce software-ul anti-virus ?i autentificarea bazat? pe doi factori reprezint? ceva comun pe sistemele desktop, aceste metode sunt foarte rar folosite pentru a proteja servere, ceea ce le face vulnerabile în fa?a furtului de creden?iale ?i permite u?or implementarea de cod malware.”

În cazul în care administratorii de sistem descoper? c? sistemele lor sunt infectate, ei sunt sf?tui?i s? ?terg? complet informa?ia de pe computerele afectate ?i s? reinstaleze sistemului de operare ?i software-ul de pe ele. Este esen?ial s? fie folosite parole ?i chei private noi, creden?ialele existente putând fi considerate compromise.

Pentru un nivel superior de protec?ie, ar trebui s? fie luat? în considerare o tehnologie de autentificare bazat? pe doi factori.

“Ne d?m seama c? ?tergerea server-ul dumneavoastr? ?i reinstalarea aplica?iilor de la zero este un remediu greu de aplicat, dar în cazul în care hackerii au furat sau spart creden?ialele de administrator ?i au avut acces de la distan?? la serverele dvs. nu pute?i s? v? asuma?i riscuri suplimentare”, explic? Léveillé.” Din p?cate, unii dintre cei afecta?i, cu care am intrat în contact, ?tiu acum c? sistemele lor sunt infectate, îns? nu au f?cut nimic pentru cur??area sistemelor – expunând ?i mai mul?i utilizatori de internet la numeroase riscuri.”

To?i utilizatorii de computere trebuie s? î?i reaminteasc? cu acest prilej, c? nu ar trebui s? reutilizeze parole sau s? aleag? parole u?or de spart.

Sursa: http://www.securitateit.ro/2014/03/operatiunea-windigo-malware-folosit-ataca-peste-500-000-calculatoare-zilnic/