Компания ESET подготовила (http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../) 69-страничный отчёт (PDF (http://www.welivesecurity.com/wp-content/uploads/2014/03/ope...), 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.
После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых из вне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра (http://www.opennet.ru/opennews/art.shtml?num=35392) или модифицировались исполняемые файлы http-серверов Apache (http://www.opennet.ru/opennews/art.shtml?num=36810), lighttpd или nginx (http://www.opennet.ru/opennews/art.shtml?num=36917) для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама.
Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.
Сообщается, что нашумевшие взломы cPanel (http://www.opennet.ru/opennews/art.shtml?num=36810), kernel.org (http://www.opennet.ru/opennews/art.shtml?num=32226) и серверов Linux Foundation (http://www.opennet.ru/opennews/art.shtml?num=31726) были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G". Если будет выведено сообщение о недоступности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.
URL: http://blog.eset.ie/2014/03/18/operation-windigo-malware-use.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=39350