Při pátrání po zneužívání malwaru Linux/Ebury se bezpečnostním expertům společnosti Eset spolu s organizacemi CERT-Bund, Swedish National Infrastructure for Computing a dalšími podařilo odhalit síť serverů, ovládaných útočníky a zneužívaných ke kriminální činnosti.
Počet serverů ovládnutých v rámci útoku „Operace Windigo“ je údajně 25 tisíc – především v USA, Velké Británii a Německu.
Většinu jejich správci po upozornění vyčistili, ale deset tisíc serverů útočníci stále ještě ovládají a nadále zneužívají ke kriminální činnosti, varuje Eset.
Klíčovou komponentou útoku je trojan Linux/Ebury, který byl odhalen již v roce 2011. Útoky spočívaly ve zneužití přístupových oprávnění administrátorů, která se se útočníkům podařilo získat. Zatím však není jasné, jak.
Ovládané servery slouží především k rozesílání spamu – aktuálně je to 35 miliónu nevyžádaných zpráv denně. Jejich další využití závisí na operačním systému počítače, který k danému serveru přistupuje.
V případě Windows se nakažené servery snaží hledat díry v zabezpečení a nasadit do počítače malware.
Každý den to infikované servery zkoušejí na půl milionu počítačů, úspěšnost se podle expertů z laboratoří společnosti Eset pohybuje okolo jednoho procenta.
V případě platformy MAC nebo iOS servery přesměrovávají návštěvníky na internetové seznamky nebo pornografické stránky.
Pro kontrolu, zde server není ovládán útočníky v rámci Operace Windigo, stačí dotaz do systému. Postup je, spolu s dalšími technickými informacemi, k nalezení na welivesecurity.com/windigo.
„V případě, že server je infikován, je jediným rozumným řešením jeho kompletní reinstalace,“ doporučuje odborník Petr Šnajdr, který dodává, že před před zneužitím přístupu mohla ochránit dvoufaktorová autentifikace.
Zdroj: Eset
