Video: Киберспорт становится всё более популярным в Украине (Tháng Chín 2024)
Những kẻ tấn công đã lây nhiễm và chiếm quyền kiểm soát hơn 25.000 máy chủ Unix để tạo ra một nền tảng phân phối spam và phần mềm độc hại khổng lồ, ESET cho biết. Quản trị viên Linux và Unix cần kiểm tra ngay nếu máy chủ của họ nằm trong số nạn nhân.
Băng đảng đứng sau chiến dịch tấn công sử dụng các máy chủ bị nhiễm để đánh cắp thông tin đăng nhập, phân phối thư rác và phần mềm độc hại và chuyển hướng người dùng đến các trang web độc hại. Pierre-Marc Cục, một người quản lý chương trình tình báo bảo mật tại ESET cho biết, các máy chủ bị nhiễm gửi 35 triệu tin nhắn rác mỗi ngày và chuyển hướng nửa triệu khách truy cập Web đến các trang web độc hại. Các nhà nghiên cứu tin rằng chiến dịch, được đặt tên là Chiến dịch Windigo, đã chiếm quyền điều khiển hơn 25.000 máy chủ trong hai năm rưỡi qua. Nhóm hiện có 10.000 máy chủ dưới sự kiểm soát của họ, Cục cho biết.
ESET đã phát hành một bài viết kỹ thuật với nhiều chi tiết hơn về chiến dịch và bao gồm một lệnh ssh đơn giản mà quản trị viên có thể sử dụng để tìm hiểu xem máy chủ của họ có bị tấn công hay không. Nếu đó là trường hợp, quản trị viên nên cài đặt lại hệ điều hành trên máy chủ bị nhiễm và thay đổi tất cả thông tin đăng nhập từng được sử dụng để đăng nhập vào máy. Vì Windigo thu thập thông tin đăng nhập, quản trị viên nên giả sử tất cả mật khẩu và khóa OpenSSH riêng được sử dụng trên máy đó bị xâm phạm và cần được thay đổi, ESET cảnh báo. Các khuyến nghị áp dụng cho cả quản trị viên Unix và Linux.
Việc lau máy và cài đặt lại hệ điều hành từ đầu có vẻ hơi cực đoan, nhưng xem xét rằng những kẻ tấn công đã đánh cắp thông tin quản trị viên, cài đặt backtime và có được quyền truy cập từ xa vào máy chủ, có thể cần tùy chọn hạt nhân.
Yếu tố tấn công
Windigo dựa vào một loại phần mềm độc hại tinh vi để chiếm quyền điều khiển và lây nhiễm các máy chủ, bao gồm cả Linux / Ebury, một kẻ đánh cắp thông tin và cửa sau OpenSSH, cũng như năm phần mềm độc hại khác. Trong suốt một ngày cuối tuần, các nhà nghiên cứu ESET đã quan sát hơn 1, 1 triệu địa chỉ IP khác nhau đi qua cơ sở hạ tầng của Windigo trước khi được chuyển hướng đến các trang web độc hại.
Các trang web bị Windigo xâm phạm lần lượt khiến người dùng Windows bị nhiễm bộ công cụ khai thác đẩy phần mềm lừa đảo nhấp chuột và gửi phần mềm độc hại, cho thấy các câu hỏi về các trang web hẹn hò với người dùng Mac và chuyển hướng người dùng iPhone sang các trang web khiêu dâm trực tuyến. Các tổ chức nổi tiếng như cPanel và kernel.org là một trong số các nạn nhân, mặc dù họ đã làm sạch hệ thống của họ, Cục cho biết.
Các hệ điều hành bị ảnh hưởng bởi thành phần spam bao gồm Linux, FreeBSD, OpenBSD, OS X và thậm chí cả Windows, Cục cho biết.
Máy chủ Rogue
Xem xét rằng ba trong số năm trang web của thế giới đang chạy trên máy chủ Linux, Windigo có rất nhiều nạn nhân tiềm năng để chơi cùng. Cửa hậu được sử dụng để thỏa hiệp các máy chủ được cài đặt thủ công và khai thác các điều khiển bảo mật và cấu hình kém, không phải lỗ hổng phần mềm trong hệ điều hành, ESET cho biết.
"Con số này rất đáng kể nếu bạn xem xét mỗi hệ thống này có quyền truy cập vào băng thông, lưu trữ, sức mạnh tính toán và bộ nhớ đáng kể", Cục cho biết.
Một số ít máy chủ bị nhiễm phần mềm độc hại có thể gây hại nhiều hơn so với một mạng botnet lớn của các máy tính thông thường. Máy chủ thường có phần cứng và sức mạnh xử lý tốt hơn và có kết nối mạng nhanh hơn so với máy tính của người dùng cuối. Hãy nhớ lại rằng các cuộc tấn công từ chối dịch vụ phân tán mạnh mẽ chống lại các trang web ngân hàng khác nhau năm ngoái có nguồn gốc từ các máy chủ Web bị nhiễm trong các trung tâm dữ liệu. Nếu đội ngũ đằng sau Windigo từng chuyển chiến thuật từ chỉ sử dụng cơ sở hạ tầng để phát tán thư rác và phần mềm độc hại sang thứ gì đó thậm chí còn nguy hiểm hơn, thì thiệt hại có thể là đáng kể.
