Szerverek ezreit érte kibertámadás

Biztonsági kutatók egy olyan támadássorozatot lepleztek le, amelynek az elmúlt két és fél év során több mint 25 ezer Linux és UNIX alapú szerver esett áldozatául.
 

Az ESET, a CERT-Bund, az SNIC (Swedish National Infrastructure for Computing), valamint egyes kormányzati ügynökségek egy kiterjedt támadássorozatra lettek figyelmesek, amely éveken keresztül teljesen észrevétlenül zajlott.  A kiberbűnözők ezúttal nem közvetlenül a végfelhasználók számítógépeit vették célba, hanem sokkal inkább a szerverekre koncentráltak. Ezáltal próbálták elérni azt, hogy a nemkívánatos tevékenységeikkel internetezők széles körében tudjanak károkat előidézni.

Az eddigi vizsgálatok arra derítettek fényt, hogy a Windigo névre keresztelt támadássorozat legalább két és fél éve kezdődött, miközben senkinek sem tűnt fel, hogy egy ilyen kiterjedt alvilági akció van folyamatban. Ennek során az optimistább becslések szerint is minimum 25 ezer Linux és UNIX alapú kiszolgáló esett áldozatául az elkövetőknek. Ami pedig még ennél is aggasztóbb, hogy még napjainkban is legalább 10 ezer szerveren vannak jelen aktívan azok a kódok, amik révén a támadók végrehajthatják a káros tevékenységeiket.

Az ESET szerint a Windigo által ostromlott szerverek bevonásával a támadók naponta összességében több mint 35 millió kéretlen levelet tudtak terjeszteni. Ezzel azonban még nem ért véget a károkozás, ugyanis a Windigohoz tartozó kártékony programok segítségével webes átirányítások is végrehajthatóak voltak. Napi félmillió olyan átirányítás következhetett be ártalmas weboldalakra, amik a végfelhasználók számítógépeinek megfertőződéséhez vezethettek. Ekkor a vírusterjesztők különféle exploitokat használtak arra, hogy biztonsági réseken keresztül ártalmas kódokat jutassanak fel az "eltérített" PC-kre. Mac OS X, illetve iOS alapú rendszerek esetében pedig elsősorban weboldalakat manipuláltak, és hirdetéseket szúrtak be egyes weblapokba. Emellett az iPhone felhasználókat felnőtteknek szóló tartalmakkal kecsegtető weblapokra vezették. Mivel még jelenleg is ezerszámra lehetnek fertőzött kiszolgálók, ezért a helyzet az elmúlt időszakban sem sokat javult. Pierre-Marc Bureau, az ESET menedzsere elmondta, hogy a nagyszámú fertőzés miatt a támadóknak jelentős erőforrás áll rendelkezésükre, mind a sávszélesség, mind az adattároló kapacitás, mind a számítási teljesítmény tekintetében.

Az elemzések azt mutatják, hogy a Windigo elsősorban az Egyesült Államokban, Németországban, Franciaországban és Nagy-Britanniában okozott gondokat, de a világ más országaiból és régióból is jeleztek fertőzéseket.

Az ESET kutatói a szerverüzemeltetők, illetve a webmasterek számára azt javasolták, hogy gondosan nézzék át az általuk felügyelt kiszolgálókat. Ehhez az alábbi parancs is segítséget nyújthat. Amennyiben pedig fertőzést észlelnek, akkor a legbiztosabb megoldás a rendszerek teljes újratelepítése.

Linux alatt is ébernek kell maradni

"Egyes nézetek szerint a Linux alapú rendszereknek nincs szükségük kiegészítő védelemre. Ez pedig különösen azóta jelent problémát, amióta ezek a kiszolgálók is egyre intenzívebb támadásoknak vannak kitéve" - nyilatkozta David Jacoby, a Kaspersky Lab  biztonsági kutatója. Véleménye szerint igen is komoly odafigyelésre van szükség e szerverek esetében is, igaz elsősorban nem a nulladik napi sebezhetőségek vagy a vírusok miatt. Linux alatt inkább a manipulált alkalmazások, a PHP-s hátsó kapuk, illetve a jogosulatlan SSH-alapú hozzáférések jelentenek kockázatot. Ezért a védelmi intézkedések meghozatalakor e fenyegetettségeket is számításba kell venni.