ОПЕРАЦІЯ ВЕНДІГО: інфіковані 25 000 серверів Linux та Unix Щодня розповсюджують загрозу на 500 000 комп’ютерів

Дослідники компанії ESET спільно з експертними групами, які займаються інцидентами у сфері комп'ютерної та Інтернет-безпеки, виявили масштабну кіберкампанію, в рамках якої тисячі інфікованих серверів Linux та Unix у всьому світі здійснювали крадіжку даних авторизації для SSH доступу, перенаправляли користувачів на веб-ресурси зі шкідливим контентом та розсилали спам-листи.

Ця кібератака, яка вже встигла отримати назву «Операція Вендіго», тривала близько 3 років. Починаючи з 2012 року дослідники ESET регулярно виявляли елементи цієї шкідливої кампанії, але її розмір і масштаб залишалися до кінця невідомими. При цьому кібероперація непомітно набирала силу — були вражені більше 25 000 серверів, які щодня розсилали близько 35 мільйонів спам-розсилок зі шкідливим контентом, піддаючи при цьому небезпеці такі широко популярні операційні системи як Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (через середу Cygwin) та Linux (включаючи Linux на базі ARM).

Після проведення ретельного аналізу була отримана повна інформація про характер даної атаки. За словами експертів, основними компонентами кібероперації виступали бекдори — програми, призначені для прихованого віддаленого адміністрування, які надають шахраям можливість несанкціоновано та дистанційно управляти інфікованим комп'ютером. Так, OpenSSH бекдор Linux/Ebury використовувався для отримання контролю над інфікованими серверами та крадіжки даних, HTTP бекдор Linux/Cdorked перенаправляв веб-трафік, а за допомогою скрипта Perl/Calfbot здійснювалася розсилка спаму. Варто відзначити, що для доступу до серверів використовувалися не уразливості ОС Linux, а вкрадені авторизаційні дані. Цей факт говорить про те, що аутентифікація лише за допомогою паролів не забезпечує надійний захист від несанкціонованого доступу в систему і є пережитком минулого.

За словами спеціалістів ESET, найбільшу кількість жертв представляють користувачі таких поштових доменів як Gmail, Hotmail та Yahoo, на кожен з яких було здійснено близько 10 мільйонів атак. Найбільша кількість спаму зі шкідливим контентом була відзначена в таких країнах як Франція, Великобританія, Росія. При цьому основна частка серверів Linux були інфіковані у США, Німеччині, Італії. Жертвами даної кібероперацій стали великі компанії та організації, такі як Cpanel та Linux Foundation.

Не дивлячись на детальне вивчення загрози та розробки інструментів очистки, на сьогоднішній день більше 700 веб-серверів продовжують перенаправляти користувачів на ресурси зі шкідливим контентом і більше 500 000 відвідувачів легітимних веб-сайтів, що звертаються до інфікованих серверам, щодня стають жертвами «Вендіго».

У зв'язку з цим, а також враховуючи той факт, що понад 60 % веб-сайтів в усьому світі працюють на серверах Linux, спеціалісти ESET настійно рекомендують веб-розробникам та системним адміністраторам перевірити системи на наявність загроз для запобігання подальшого поширення «Вендіго». Для цього ІТ-спеціалістам необхідно запустити наступну команду:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

У разі виявлення зараження, спеціалісти ESET радять провести очистку інфікованих комп'ютерів, після чого перевстановити операційну систему та програмне забезпечення. При цьому варто не забувати, що паролі, які раніше використовувалися до облікових записів, можуть становити загрозу для системи в подальшому. Для більш високого рівня захисту користувачам рекомендується змінити дані для входу в систему, використовувати складні паролі, а також двофакторну модель аутентифікації.