Koletise jahtimine

Lugejatele, kellele mütoloogia on tuttav, võib sõna Windigo silme ette tuua pildi väljamõeldud lihasööjast koletisest. Seevastu küberjulgeoleku maailmas viitab termin „servereid tarbivale” pahavarakampaaniale, mille avastasid ESETi eksperdid 2012. aastal ning mille nimi valiti tänu selle võimele servereid hävitada ja ohvritele kaost tekitada. Heidame pilgu tagasi sellele rünnakule.

 

Avastamine

Esmakordselt 2011. aastal Linuxi Sihtasutuse poolt avastatud pahavararünnak, mis hiljem Windigo nime all tuntuks sai, suutis kahe aasta jooksul (2012–2014) tungida umbes 25 000 serverisse. Rünnaku taga olev pahatahtlik jõuk demonstreeris väga kõrget tehniliste oskuste taset.

Pärast Sucuri turvaettevõtte käest Linux/Cdorkedi esimese näidise saamist 2013. aasta märtsis käivitas ESET operatsiooni Windigo, mille eesmärgiks oli analüüsida ründajate poolt kasutatud meetodeid, infektsiooni ulatust ja tekitatud kahju.

See tõi kaasa pahavara rünnaku ja selle mõju kohta detailse raporti valmimise 2014. aastal. Ulatusliku dokumendi eesmärgiks oli põhjaliku analüüsi kaudu operatsiooni kohta teadlikkuse tõstmine ning samuti kirjeldati, kuidas nakatunud hoste tuvastada.

Raport võeti avalikkuse ja teabeturbe kogukonna poolt hästi vastu. Isegi pahavara taga olev meeskond tunnustas uuringu pädevust, märkides tollal: “Hea töö, ESET!”

 

Tark vaenlane

Windigo pahavara taga olev meeskond ei koosne amatööridest. Näiteks operatsioon, mis tagauksi ekspluateerib, kasutab OpenSSH modifitseeritud versiooni, mis on „avatud lähtekoodiga alternatiiv firmaomasele Secure Shell tarkvarale (SSH)”.

Lisaks serverite infiltreerimisele suudab jõuk ka tavakasutajaid administraatoritest eristada, valides ohvreid lähtuvalt nende administreerimise aktiivsusele.

Veel on pahavara autorid näidanud üles märkimisväärset oskust tuvastamist vältida. Selleks kasutavad nad taktikaid nagu nakatunud serverite tarkvara uuendamine, et uurijaid enda jälgedelt maha raputada, ja enda uue DNS-tagaukse tarkvara loomine 2013. aasta juunis, mis oli vastuseks vaid mõni kuu varem 2013. aasta aprillis avaldatud avastamisvahenditele.

 

Vihjete avastamine

Eespool mainitud ESETi poolt läbi viidud uuringust selgus, et algselt Linuxi Sihtasutuse poolt tuvastatud Operatsioon Windigo oli olemas olnud juba vähemal 2011. aastast ning oli vahemikus 2012–2014 tunginud rohkem kui 25 000 ainulaadsesse serverisse erinevates riikides, sealhulgas Prantsusmaal, Itaalias, Venemaal, Mehhikos ja Kanadas.

Nakatunud servereid kasutasid ründajad ulatusliku rämpsposti kampaania läbiviimiseks, mandaatide varastamiseks, veebiliikluse reklaamvõrgustikele suunamiseks ja veebikasutajate nakatamiseks läbi allalaadimiste.

Uurimisrühm suutis ka kindlaks teha seose „erinevate pahavara komponentide nagu Linux/Cdorkedi, Perl/Calfboti ja Win32/Glupteba.M-i vahel” ja järeldas, et neid “kõiki haldab sama grupp”.

 

Väike, kuid võimas

Võrreldes teiste pahavara kampaaniatega võib Windigo tunduda mõnevõrra väikesemahulisena, sest ESETi 2014. aasta aruanne tõi välja, et „grupi kontrolli all on hetkel üle kümne tuhande serveri”.

Siiski on oluline meeles pidada, et nakatades servereid, millel on „suur hulk ressursse, kui rääkida ribalaiusest ning salvestus- ning komputatsioonivõimest”, siis on pahavara palju laiema haardega võrreldes sellega, kui rünnak nakataks personaalarvuteid.

Tõepoolest, ESETi kohaselt on grupp seda infrastruktuuri kasutades „võimeline saatma üle 35 000 000 rämpskirja päevas”.

Lisaks sellele oli – ja on – pahavara suuteline tungima paljudesse erinevatesse operatsioonisüsteemidesse, mille hulka kuuluvad Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (läbi Cygwini) ja Linux. Samuti selgus, et pahavara oli nakatanud suuri organisatsioone, sealhulgas cPanelit ja Linuxi Sihtasutust.

 

Varjumise meetodid

Operatsiooni taga olev grupp väldib tuvastamist, lõpetades tegevuse, kui nad tunnevad, et neil on oht avastatud saada.

Samuti märkis ESET, et pahavara autorid ei keskendu peavoolu serveritele, vaid väiksematele veebisaitidele, eriti pornograafilistele lehtedele, sest neil on lai ulatus, kuid madalam turvalisuse tase. Lisaks maksimeerivad nad serveri ressursse käivitades erinevaid tegevusi vastavalt omandatud juurdepääsu tasemele.

Sel viisil suudab jõuk oma pahavaraga hävitustööd teha, olles alati ühe sammu võrra infoturbe ekspertidest ja ametivõimudest ees.

 

Jõudude ühendamine

Ründajate uurimiseks ja nende vastu võitlemiseks ühendas ESET operatsiooni käigus töörühma moodustamiseks jõud mitmete rahvusvaheliste organisatsioonidega nagu näiteks CERT-Bund, Rootsi Riiklik Andmetöötluse Infrastruktuui (SNIC) ja Euroopa Tuumauuringute Keskus (CERN). Tänu sellele koostööle suutsid grupi liikmed nakatunuid teavitada ja neid puhastustööga aidata.

 

Koletis elab edasi

Nagu paljude pahavarast tingitud ohtude puhul, ei tähenda probleemi identifitseerimine veel selle lahendamist. Kuna operatsioon Windigo poolt kasutatav pahavara areneb edasi, siis on hädavajalik, et administraatorid teeksid sissetungi vältimiseks kõik endast oleneva.

Alates 2014. aasta aruande väljastamisest on ESET jätkanud oma püüdlust ründajatega võidelda ja kaitsta servereid nii Linux/Windigo pahavara kui ka teiste küberturbe ohtude eest nagu Linux/Ebury.

Allikas: WeLiveSecurity