Bezpečnostním specialistům z Esetu, švédského Certu a dalších organizací se podařilo odhalit a zmapovat útok trojského koně Linux/Ebury, který v posledních několika letech napadl tisíce počítačů na celém světě. Linux/Ebury se přitom od ostatních liší především v tom, že neútočil na běžné klientské stanice, ale v rámci operace Windigo se snažil proniknout na linuxové servery a to pomocí odhalení hesla správce.
Podle Esetu bylo tímto způsobem infikováno na 25 tisíc serverů, přičemž 10 tisíc z nich je prý stále aktivních a každý den rozesílají na 35 milionů nevyžádaných zpráv. Zavirované servery se pak sekundárně pokoušely infikovat klientské počítače, případně přesměrovávat prohlížeče třeba na pornografické stránky s malwarem.
Linux/Ebury a jeho organizovaný útok s kódovým označením Windigo je podle Esetu pouze důkazem toho, že autentizace administrátora kritického serveru podle hesla je nedostatečná a spolehlivou obranou jsou pouze nejrůznější formy dvoustupňového přihlášení.
Infikované servery denně rozesílají 35 milionů nevyžádaných zpráv a ohrožují půl milionu počítačů
Při pátrání po tom, jak kriminální živly využívají malware s označením Linux/Ebury, který byl zjištěn již v roce 2011, se bezpečnostním expertům společnosti ESET, společně s kolegy
z organizací CERT-Bund, Swedish National Infrastructure for Computing a dalších, podařlo odhalit síť serverů, ovládaných útočníky a zneužívaných ke kriminální činnosti.
Počet serverů, ovládnutých v rámci útoku, který bezpečnostní experti nazvali „Operace Windigo“, je 25 tisíc – především v USA, Velké Británii a Německu. Většinu jejich správci po upozornění vyčistili, ale deset tisíc serverů útočníci stále ještě ovládají a nadále zneužívají ke kriminální činnosti.
Operace Windigo je unikátní tím, že cílem útoku nebyly počítače uživatelů, ale přímo servery. „Sítě ovládaných počítačů, takzvané botnety, jsou bohužel docela běžné. Ale takhle rozsáhlá síť ovládaných serverů představuje obrovský výpočetní výkon a přenosovou kapacitu, což z ní dělá významnou hrozbu,“ komentuje Petr Šnajdr, bezpečnostní expert společnosti ESET.
Cílem Operace Windigo byly servery s operačním systémem Linux, které představují 60 procent ze všech internetových serverů. Klíčovou komponentou útoku je trojan Linux/Ebury, který byl odhalen již v roce 2011. Ovládnutí serverů však nebylo založeno na zneužití nějaké bezpečnostní díry v systému. Útoky spočívaly ve zneužití přístupových oprávnění administrátorů, která se se útočníkům podařilo získat. „Je zatím záhadou, jak se mohlo podařit získat přístupové údaje v tak masivním měřítku, a jak je možné, že tato operace zůstala tak dlouho bez povšimnutí,“ říká Petr Šnajdr. „V každém případě je ale jasné, že pouhé heslo – jakkoli složité a třeba i často obměňované – k zabezpečené serveru prostě nestačí. Jednoznačně je potřeba spolehlivější ochrana v podobě dvoufaktorové autentizace,“ dodává Petr Šnajdr.
Ovládané servery slouží především k rozesílání spamu – aktuálně je to 35 miliónu nevyžádaných zpráv denně. Jejich další využití závisí na operačním systému počítače, který
k danému serveru přistupuje. V případě platformy Windows se servery snaží hledat díry
v zabezpečení a implantovat do počítače malware. Každý den to infikované servery zkoušejí na půl milionu počítačů; úspěšnost se podle expertů z laboratoří společnosti ESET pohybuje okolo jednoho procenta.
V případě platformy MAC nebo iOS servery přesměrovávají návštěvníky na internetové seznamky nebo pornografické stránky.
„Síť ovládaných serverů by nejspíš bylo možné zneužít k cílenému zahlcování počítačů, tedy
k takzvaným DDoS útokům. Naštěstí zatím nejsou známky, že by se tak dělo, ale je to o důvod víc, aby správci serverů dbali na zabezpečení,“ varuje Petr Šnajdr.
Kontrola, zde server není ovládán útočníky v rámci Operace Windigo není složitá. Stačí jednoduchý dotaz do systému; postup je, spolu s dalšími technickými informacemi, k nalezení na welivesecurity.com/windigo.
„V případě, že server je infikován, je jediným rozumným řešením jeho kompletní reinstalace,“ doporučuje Petr Šnajdr.