Operation Windigo – groźny malware atakujący uniksowe serwery

Specjaliści od sprawa bezpieczeństwa z firmy ESET wykryli groźnego trojana typu backdoor, który atakuje serwery uniksowe i następnie wykrada z nich poufne informacje, wysyła spamy i przekierowuje ruch WWW. Badanie wykazało, że trojan (noszący nazwę Operation Windigo) działa w Sieci od co najmniej dwóch lat i mógł do dzisiaj zarazić nawet 25 tys. serwerów.

ESET wykrył groźnego trojana współpracując ściśle z dwoma innymi instytucjami zajmującymi się bezpieczeństwem sieci i komputerów: CERT-Bund i Swedish National Infrastructure for Computing. Trojan Operation Windigo jest w stanie atakować również komputery pracujące pod kontrolą systemów Linux, OS X i Windows. Biorąc pod uwagę fakt, że 60% serwerów WWW na świecie pracuje pod kontrolą systemu Linux, zarządzający nimi administratorzy powinni być szczególnie czujni.

Elementami, które zarażają bezpośrednio serwery, są programy backdoor noszące nazwy Linux/Ebury (backdoor OpenSSH, który kontroluje serwer i wykrada z niego poufne informacje), Linux/Cdorked (backdoor HTTP, który przekierowuje ruch WW) i Perl/Calfbot (skrypt Perl, który generuje i rozsyła spamy).

Zobacz również:

Eksperci zawracają uwagę na fakt, że mamy do czynienia z wyjątkowo inteligentnym i trudny do wykrycia oprogramowaniem malware, ponieważ nie wprowadza ono żadnych zmian do plików systemowych ani nie zostawia w systemie śladów (np. w logach). Dane konfigurujące malware są przy tym zapisywane w pamięci systemowej serwera, dlatego po wykonaniu operacji reboot (restart systemu) są niedostępne. Utrudnia to sprawdzenie, jakie szkody malware mógł ewentualnie poczynić na danym komputerze.

Jak chronić się przez atakami trojana Operation Windigo? ESET radzi: stosować dwuskładnikowy system uwierzytelniania użytkowników oraz aktualizować na bieżąco system operacyjny zarządzający serwerem oraz zainstalowane na nim oprogramowanie.

Szczegółowe informacje na temat tego zagrożenia ESET opublikował w dokumencie "Operation Windigo".


TOP 200