וִידֵאוֹ: Antevisão Tondela - Oliveirense (2.ª Liga) (נוֹבֶמבֶּר 2024)
התוקפים הדביקו ותפסו שליטה על למעלה מ 25, 000 שרתי יוניקס כדי ליצור פלטפורמת הפצה מסיבית של דואר זבל ותוכנות זדוניות, אמר ESET. מנהלי מערכת לינוקס ויוניקס צריכים לבדוק מייד אם השרתים שלהם נמנים עם הקורבנות.
החבורה שעומדת מאחורי קמפיין ההתקפה משתמשת בשרתים הנגועים בכדי לגנוב אישורים, להפיץ דואר זבל ותוכנות זדוניות ולהפנות משתמשים לאתרים זדוניים. השרתים הנגועים שולחים 35 מיליון הודעות דואר זבל בכל יום ומפנים מחדש כחצי מיליון מבקרים באינטרנט לאתרים זדוניים מדי יום, אמר פייר-מארק הלשכה, מנהל תוכנית מודיעין אבטחה ב- ESET. החוקרים מאמינים כי הקמפיין, שכונה "מבצע וינדיגו", חטף למעלה מ- 25, 000 שרתים בשנתיים וחצי האחרונות. בקבוצה יש כיום 10, 000 שרתים בשליטתם, כך מסרה הלשכה.
ESET פרסמה מאמר טכני עם פרטים נוספים על הקמפיין, וכללה פקודת ssh פשוטה בה יכולים מנהלי מערכת להשתמש כדי להבין אם השרתים שלהם נחטפו. אם זה במקרה, על מנהלי מערכת להתקין מחדש את מערכת ההפעלה בשרת הנגוע ולשנות את כל האישורים ששימשו אי פעם בכניסה למחשב. מכיוון שווינדיגו אספה אישורים, על מנהלי מערכת להניח שכל הסיסמאות ומפתחות ה- OpenSSH הפרטיים המשמשים באותה מכונה נפגעים ויש לשנותם, הזהיר ESET. ההמלצות חלות על מנהלי יוניקס וגם על מנהלי Linux.
ניגוב המכונה והתקנתה מחדש של מערכת ההפעלה מאפס אולי נשמע מעט קיצוני, אך בהתחשב בכך שהתוקפים גנבו אישורי מנהל, התקנו דלתות אחוריות וקיבלו גישה מרחוק לשרתים, נראה כי האופציה הגרעינית היא הכרחית.
אלמנטים לתקוף
ווינדיגו מסתמך על קוקטייל של תוכנות זדוניות מתוחכמות כדי לחטוף ולהדביק את השרתים, כולל לינוקס / אבורי, דלת אחורית של OpenSSH וגנוב אישורים, כמו גם חמישה חלקים אחרים של תוכנות זדוניות. במהלך סוף שבוע בודד, חוקרי ESET צפו ביותר מ- 1.1 מיליון כתובות IP שונות העוברות בתשתית של ווינדיגו לפני שהופנו לאתרים זדוניים.
אתרי אינטרנט שנפגעו על ידי ווינדיגו הובילו את משתמשי Windows עם ערכת ניצול שדחפו הונאה של קליקים ותוכנות זדוניות לשליחת דואר זבל, הראו אתרים מפוקפקים לגבי אתרי היכרויות למשתמשים ב- Mac והפנו את משתמשי iPhone לאתרי פורנו מקוונים. ארגונים ידועים כמו cPanel ו- kernel.org היו בין הקורבנות, למרות שניקו את המערכות שלהם, כך נמסר מהלשכה.
על פי נתוני הלשכה, מערכות הפעלה המושפעות מרכיב הספאם כוללות לינוקס, FreeBSD, OpenBSD, OS X ואפילו Windows.
שרתים סוררים
בהתחשב בכך ששלושה מכל חמישה מאתרי העולם פועלים על שרתי לינוקס, ל- Windigo יש הרבה קורבנות פוטנציאליים לשחק איתם. הדלת האחורית ששימשה לפגיעה בשרתים הותקנה ידנית ומנצלת בקרות תצורה ואבטחה לקויות, ולא פגיעויות תוכנה במערכת ההפעלה, אמר ESET.
הלשכה מסרה כי "המספר הזה הוא משמעותי אם אתה מחשיב שלכל אחת מהמערכות הללו יש גישה לרוחב פס משמעותי, אחסון, כוח מחשוב וזיכרון".
קומץ שרתים הנגועים בתוכנה זדונית עלול לגרום נזק רב יותר מאשר בוטנט גדול של מחשבים רגילים. לשרתים בדרך כלל כוח חומרה ועיבוד טוב יותר, ויש להם חיבורי רשת מהירים יותר מאשר מחשבי משתמש קצה. נזכיר כי התקפות הכחשת השירות המופצות החזקות נגד אתרי בנקאות שונים בשנה שעברה מקורן בשרתי אינטרנט נגועים במרכזי נתונים. אם הצוות שעומד מאחורי ווינדיגו אי פעם מעביר טקטיקות משימוש פשוט בתשתית להפצת דואר זבל ותוכנות זדוניות למשהו אפילו יותר מטושטש, הנזק שנוצר יכול להיות משמעותי.