Ερευνητές ασφαλείας από την ESET, την CERT-Bund και άλλες εταιρείες, παρακολουθούσαν την εγκληματική δραστηριότητα ενός Botnet, που είχε μολύνει πάνω από 25.000 servers UNIX κατά τη διάρκεια των τελευταίων δύο ετών. Το botnet ονομάζεται “Windigo” από το όνομα ενός μυθικού πλάσματος της Αμερικάνικης λαογραφίας.
Οι μολυσμένοι servers χρησιμοποιούνταν από τους εγκληματίες για την αποστολή 35 εκατομμυρίων spam emails κάθε μέρα, που κατάφεραν να μολύνουν περίπου 500.000 υπολογιστές με κακόβουλο λογισμικό.
“Κάθε μέρα πάνω από μισό εκατομμύριο υπολογιστές διέτρεχαν κίνδυνο μόλυνσης, αφού επισκεπτόταν ιστοσελίδες που περιείχαν κακόβουλο λογισμικό που είχε εμφυτευτεί από το Windigo”, δήλωσε ο ερευνητής ασφαλείας της ESET Marc-Étienne Leveille.
Οι περισσότεροι από τους μολυσμένους servers βρίσκονται στις ΗΠΑ, τη Γερμανία, τη Γαλλία και το Ηνωμένο Βασίλειο. Πολλοί από αυτούς τους servers ανήκουν σε παροχείς υπηρεσιών φιλοξενίας. Ο κατάλογος των θυμάτων περιλαμβάνει εταιρείες όπως την cPanel και την kernel.org.
Όπως αναφέρει η Theregister.co.uk, η ESET διερευνά την κακόβουλη εκστρατεία περίπου ένα χρόνο. Ανακάλυψε συνολικά, 25.000 servers που είχαν μολυνθεί, ενώ πάνω από 10.000 εξακολουθούν να είναι.
Οι χρήστες των Mac δεν αγνοήθηκαν από τους εγκληματίες του κυβερνοχώρου. Ενώ οι χρήστες των Windows κατευθυνόταν σε ιστοσελίδες με κακόβουλο λογισμικό, αυτοί που χρησιμοποιούσαν Mac κατευθύνονταν σε περιεχόμενο για ενήλικες ή σε διαφημίσεις από dating sites.
Ο Leveille υπογραμμίζει το γεγονός ότι το backdoor Ebury που αναπτύχθηκε από τους εισβολείς δεν χρησιμοποιούνταν για exploit τρωτών σημείων σε Linux ή OpenSSH, αλλά το εμφύτευαν με το χέρι.
“Το γεγονός ότι καταφέραν να το κάνουν αυτό σε δεκάδες χιλιάδες διαφορετικούς servers είναι ανατριχιαστικό. Ενώ τα anti-virus και ο έλεγχος ταυτότητας δύο παραγόντων είναι κοινά μέτρα προστασίας σε υπολογιστές που χρησιμοποιούμε στο σπίτι, σπάνια χρησιμοποιούνται για την προστασία των διακομιστών, καθιστώντας τους ευάλωτους σε κλοπές διαπιστευτηρίων και εύκολη εγκατάσταση κακόβουλου λογισμικού,” ανέφερε ο εμπειρογνώμονας.
Αν είστε διαχειριστής συστήματος με Linux και θέλετε να ελέγξετε το σύστημα σας μπορείτε να τρέξετε την παρακάτω εντολή
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Οι μολυσμένες συσκευές θα πρέπει να διαγραφούν εντελώς και το λειτουργικό σύστημα θα πρέπει να επανεγκατασταθεί.
Παραπάνω πληροφορίες για το Windigo είναι διαθέσιμες στο PDF της ESET.
