Video: (Insane Demon) Malware by MrLorenzo | Geometry Dash 2.1 (Settembre 2024)
Gli aggressori hanno infettato e preso il controllo di oltre 25.000 server Unix per creare un'enorme piattaforma di distribuzione di spam e malware, ha affermato ESET. Gli amministratori Linux e Unix devono verificare immediatamente se i loro server sono tra le vittime.
La banda dietro la campagna di attacco utilizza i server infetti per rubare credenziali, distribuire spam e malware e reindirizzare gli utenti a siti dannosi. I server infetti inviano 35 milioni di messaggi spam ogni giorno e reindirizzano quotidianamente mezzo milione di visitatori Web verso siti dannosi, ha dichiarato Pierre-Marc Bureau, responsabile del programma di intelligence sulla sicurezza di ESET. I ricercatori ritengono che la campagna, soprannominata Operazione Windigo, abbia dirottato oltre 25.000 server negli ultimi due anni e mezzo. Il gruppo ha attualmente 10.000 server sotto il loro controllo, ha affermato Bureau.
ESET ha pubblicato un documento tecnico con maggiori dettagli sulla campagna e includeva un semplice comando ssh che gli amministratori possono utilizzare per capire se i loro server sono stati dirottati. In tal caso, gli amministratori devono reinstallare il sistema operativo sul server infetto e modificare tutte le credenziali mai utilizzate per accedere al computer. Dato che Windigo ha raccolto le credenziali, gli amministratori dovrebbero presumere che tutte le password e le chiavi private OpenSSH utilizzate su quella macchina siano compromesse e debbano essere modificate, ha avvertito ESET. Le raccomandazioni si applicano sia agli amministratori Unix che a Linux.
Pulire la macchina e reinstallare il sistema operativo da zero può sembrare un po 'estremo, ma considerando che gli aggressori hanno rubato le credenziali di amministratore, installato backdoor e ottenuto l'accesso remoto ai server, prendendo l'opzione nucleare sembra necessario.
Elementi di attacco
Windigo si affida a un cocktail di malware sofisticati per dirottare e infettare i server, tra cui Linux / Ebury, una backdoor OpenSSH e un ladro di credenziali, nonché altri cinque malware. Nel corso di un solo fine settimana, i ricercatori di ESET hanno osservato oltre 1, 1 milioni di indirizzi IP diversi che passavano attraverso l'infrastruttura di Windigo prima di essere reindirizzati a siti dannosi.
I siti Web compromessi da Windigo a loro volta infettavano gli utenti Windows con un kit di exploit che spingeva la frode con clic e il malware che inviava spam, mostrava messaggi discutibili per i siti di incontri agli utenti Mac e reindirizzava gli utenti iPhone ai siti porno online. Organizzazioni ben note come cPanel e kernel.org sono state tra le vittime, sebbene abbiano ripulito i loro sistemi, ha affermato Bureau.
I sistemi operativi interessati dal componente spam includono Linux, FreeBSD, OpenBSD, OS X e persino Windows, ha affermato Bureau.
Server non autorizzati
Considerando che tre su cinque dei siti Web del mondo sono in esecuzione su server Linux, Windigo ha un sacco di potenziali vittime con cui giocare. La backdoor utilizzata per compromettere i server è stata installata manualmente e sfrutta la scarsa configurazione e i controlli di sicurezza, non le vulnerabilità del software nel sistema operativo, ha affermato ESET.
"Questo numero è significativo se si considera che ciascuno di questi sistemi ha accesso a larghezza di banda, memoria, potenza di elaborazione e memoria significative", ha affermato Bureau.
Una manciata di server infetti da malware può causare molti più danni di una grande botnet di computer normali. I server hanno generalmente una migliore potenza hardware e di elaborazione e connessioni di rete più veloci rispetto ai computer degli utenti finali. Ricordiamo che il potente attacco denial of service distribuito contro vari siti Web bancari lo scorso anno ha avuto origine da server Web infetti nei data center. Se il team dietro Windigo commuta mai le tattiche dal solo utilizzo dell'infrastruttura per diffondere spam e malware a qualcosa di ancora più cattivo, il danno risultante potrebbe essere significativo.
