Przejęli 25 tys. serwerów. Głównie linuksowych

25 tysięcy serwerów, głównie pracujących w oparciu o systemy Linux, zostało przejętych przez cyberprzestępców tworząc strukturę pozwalającą na przeprowadzanie na masową skalę "reklamowych" ataków na użytkowników zarówno komputerów, jak i urządzeń mobilnych.

Dostawca oprogramowania antywirusowego, firma ESET oraz organizacje CERT (Computer Emergency Response Team) i CERN (Europejska Organizacja Badań Jądrowych) połączyły siły i zdemaskowały szeroko zakrojoną akcję cyberprzestępczą, w wyniku której zainfekowanych zostało 25 tysięcy serwerów, działających głównie w oparciu o systemy Linux, FreeBSD, OpenBSD oraz OS X. Co ważne, znalazły się wśród nich m.in. serwery należące do Fundacji Linuksa.

Operacji tej nadano nazwę Windigo oznaczającą człekokształtnego monstrum obecnego w wierzeniach północnoamerykańskich Indian. Dlaczego użyto tak groźnie brzmiącej nazwy skoro mamy tutaj do czynienia z infekcją zaledwie 25 tysięcy maszyn, co jest przecież słabym wynikiem w porównaniu do wykrytych wcześniej (i wciąż działających) botnetów kontrolujących miliony komputerów? Dlatego, że w tym przypadku mamy do czynienia z serwerami, a nie komputerami osobistymi, co oznacza dla cyberprzestępców możliwość skorzystania z większej wydajności oraz dostępu do zdecydowanie większych zasobów.

"Zainfekowane serwery przypominały potem marionetki – wykonywały polecenia cyberprzestępócw, tj. rozsyłały spam lub kierowały internautów, odwiedzających strony obsługiwane przez zainfekowane serwer, do serwisów WWW zawierających niechcianą zawartość, m.in. reklamy. Na skutki działania Windigo narażeni byli użytkownicy zarówno komputerów, jak i urządzeń mobilnych – przykładowo, posiadacz iPhone’a, który odwiedził stronę WWW, przechowywaną na zainfekowanym serwerze, otrzymywał reklamę … serwisu erotycznego." - tłumaczy w informacji prasowej ESET.

O potędze operacji Windigo (cyberprzestępcy sprawują jeszcze kontrolę nad 10 tys. tych maszyn) świadczy np fakt, że w jeden weekend jej infrastruktura łączyła się z ponad milionem różnych adresów IP.

Dla zainteresowanych tym tematem polecam lekturę dogłębnie go analizującego obszernego raportu "OPERATION WINDIGO: The vivisection of a large Linux server-side credential stealing malware campaign" (plik PDF)


Zobacz również