Заражені 25 000 серверів Linux і Unix щодня поширюють загрозу на 500 000 комп'ютерів

Дослідники компанії ESET спільно з експертними групами, які займаються інцидентами у сфері комп'ютерної та Інтернет-безпеки, виявили масштабну киберкампанію, в рамках якої тисячі інфікованих серверів Linux і Unix по всьому світу здійснювали крадіжку даних авторизації для доступу SSH, перенаправляли користувачів на веб-ресурси з шкідливим контентом і розсилали спам-листи.

Ця кібератака, яка вже встигла отримати назву «Операція Вендиго», тривала близько 3 років. Починаючи з 2012 року дослідники ESET регулярно виявляли елементи цієї шкідливої кампанії, але її розмір і масштаб залишалися до кінця невідомими. При цьому кибероперация непомітно набирала силу - були вражені понад 25 000 серверів, які щодня розсилали близько 35 мільйонів спам-розсилок з шкідливим контентом, наражаючи при цьому на небезпеку такі широко популярні операційні системи, як Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (через середовище Cygwin) і Linux (включаючи Linux на базі ARM).

Після проведення ретельного аналізу була отримана повна інформація про характер даної атаки. За словами експертів, основними компонентами кібероперації виступали бекдори - програми, призначені для прихованого віддаленого адміністрування, які надають шахраям можливість несанкціоновано і віддалено керувати інфікованим комп'ютером. Так, OpenSSH бекдор Linux/Ebury використовувався для отримання контролю над зараженими серверами і крадіжки даних, HTTP бекдор Linux/Cdorked перенаправляв веб-трафік, а з допомогою скрипта Perl/Calfbot здійснювалася розсилка спаму. Варто зазначити, що для доступу до серверів використовувалися не уразливості ОС Linux, а вкрадені авторизаційні дані. Цей факт говорить про те, що аутентифікація лише з допомогою паролів не забезпечує надійний захист від несанкціонованого доступу в систему і є пережитком минулого.

За словами спеціалістів ESET, найбільша кількість жертв представляють користувачі таких поштових доменів як Gmail, Hotmail і Yahoo, на кожен з яких було зовсім близько 10 мільйонів атак. Найбільша кількість спаму з шкідливим контентом було відзначено в таких країнах як Франція, Великобританія, Росія. При цьому основна частка серверів Linux були заражені в США, Німеччині, Італії. Жертвами даної кібероперації стали великі компанії і організації, такі як cPanel і Linux Foundation.

Не дивлячись на детальне вивчення загрози та розробки інструментів очищення, на сьогоднішній день понад 700 веб-серверів продовжують перенаправляти користувачів на ресурси з шкідливим контентом і більше 500 000 відвідувачів легітимних веб-сайтів, які звертаються до інфікованим серверів, щодня стають жертвами «Вендиго».

У зв'язку з цим, а також враховуючи той факт, що понад 60 % сайтів в усьому світі працюють на серверах Linux, спеціалісти ESET рекомендують веб-розробникам та системним адміністраторам перевірити систему на наявність загроз для запобігання подальшого поширення «Вендиго». Для цього ІТ-фахівцям необхідно запустити наступну команду:

$ ssh-G 2>&1 | grep-e illegal-e unknown > /dev/null && echo «System clean» || echo «System infected»

У разі виявлення зараження, спеціалісти ESET радять провести очищення інфікованих комп'ютерів, після чого перевстановити операційну систему та програмне забезпечення. При цьому варто не забувати, що раніше використовувані паролі до облікових записів можуть представляти загрозу для системи в подальшому. Для більш високого рівня захисту користувачам рекомендується змінити дані для входу в систему, використовувати складні паролі, а також двофакторну модель аутентифікації.