Взгляд в прошлое: Операция Windigo

Охота на зверя

Для читателей, знакомых с мифологией, слово Windigo может вызвать видение вымышленного плотоядного чудовища. В мире кибербезопасности, тем не менее, этот термин относится к запуску кампании по внедрению «потребляющего сервер» вредоносного ПО, которое было обнаружено экспертами ESET в 2012 году. Название было выбрано из-за способности ПО захватывать сервера и наносить серьезный ущерб жертвам. Мы рассмотрим эту кампанию.

Первое упоминание

Впервые обнаруженная в 2011 году Linux Foundation, кампания по внедрению вредоносного ПО, которая позже стала известна как Windigo, всего за два года (2012-2014) смогла проникнуть приблизительно на 25 000 серверов. Банда злоумышленников, стоящая за ней, могла похвастаться высоким уровнем технических знаний.

После получения первого образца Linux/Cdorked от занимающейся безопасностью фирмы Sucuri в марте 2013 года, ESET запустила Операцию Windigo, цель которой заключалась в анализе методов, используемых взломщиками, объема заражения, а также причиненного ущерба.

В результате в 2014 году был составлен подробный отчет по кампании по внедрению вредоносного ПО и ее последствиям. Цель данного всестороннего документа заключалась в том, чтобы проведя углубленный анализ, больше узнать о происходящем, а также точнее определить методы вычисления зараженных хостов.

Отчет был хорошо встречен общественностью и сообществом специалистов в области информационной безопасности. Даже команда, которая стояла за вредоносным ПО, признала качество исследования, отметив тогда: «Отличная работа, ESET!».

 

Умный враг

В команду злоумышленников, которая стояла за Windigo, входили не любители. Например, операция, которая эксплуатирует бэкдоры, — использует модифицированную версию OpenSSH, «на основе исходного года, альтернативного коммерческому Secure Shell Software (SSH)».

Кроме заражения серверов, группа также может отличать обычных пользователей от администраторов, отбирая жертв по их действиям в роли администратора.

Также авторы вредоносного ПО зарекомендовали себя как профессионалы в своем желании запутать следы с использованием различных тактик, например, заливка на зараженные сервера новых версий ПО; чтобы сбить расследование с курса, в ответ на создание программы для выявления вредоносного ПО несколькими месяцами ранее в апреле 2013, в июне 2013 была создана новая версия ПО с уязвимостью DNS.

 

Поиск ключей к разгадке

Как было указано выше, расследование, проведенное ESET обнаружило, что Операция Windigo изначально была засечена Linux Foundation, проводилась как минимум с 2011 года, в период 2012-2014 было скомпрометировано более 25 000 уникальных серверов в разных странах, включая Францию, Италию, Российскую Федерацию, Мексику и Канаду.

Зараженные сервера использовались взломщиками для запуска обширных спам-кампаний, кражи учетных данных, перенаправления Интернет-трафика на рекламные сети и заражения компьютеров пользователей Сети путем загрузок «drive-by» (загрузки во время кратковременного посещения страницы).

Команда исследователей смогла определить связь между «различными вредоносными компонентами, например Linux/Cdorked, Perl/Calfbot и Win32/Glupteba.M,” включая то, что “все они управлялись той же группой”.

 

Мал, да удал

При сравнении с другими кампаниями по использованию вредоносного ПО, Windigo может показаться мелкой, причем отчет ESET подтверждает, что группа «на тот момент контролировала более десяти тысяч» серверов в 2014 году.

Однако гораздо важнее помнить, что при попадании на сервера, которые «обладают гораздо более значительными ресурсами в плане пропускной способности, хранения и вычислительной мощности», вредоносное ПО получает гораздо больший охват, чем при простом инфицировании персональных компьютеров.

На самом деле, согласно данным ESET, используя эту инфраструктуру, группа «может рассылать более 35 000 000 спам-сообщений в день».

В дополнение, вредоносное ПО могло — и может — заражать различные операционные системы, включая Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (через Cygwin) и Linux. Было также обнаружено, что вредоносное ПО заразило крупные организации, включая cPanel и Linux Foundation.

 

Методы маскировки

Обнаружение группы, стоящей за проведением кампании, затрудняется и тем, что они прекращают какую бы то ни было деятельность, когда они чувствуют, что могут быть раскрыты.

ESET также отметил, что авторы вредоносного ПО предпочитают работать с небольшими сайтами, в частности, порносайтами, чем с популярными серверами, из-за их широкой посещаемости и низкого порога безопасности. Они также максимально используют ресурсы сервера, запуская разные сценарии в зависимости от полученного уровня доступа.

Таким образом, группа смогла нанести серьезный ущерб своим вредоносным ПО, при этом все время будучи на шаг впереди экспертов в области информационной безопасности и властей.

 

Объединяя усилия

Для проведения расследования и борьбы со взломщиками ESET для создания Рабочей группы объединил усилия с несколькими международными организациями, включая CERT-Bund, Шведскую национальную ИТ-инфраструктуру и Европейскую организацию по ядерным исследованиям (CERN). Такое сотрудничество позволило членам группы информировать вновь зараженных членов и помогать им в очистке.

 

Зверь продолжает жить

Как в случае большей части вредоносного ПО, выявление проблемы не является решением само по себе; так и с вредоносным ПО, используемым в Операции Windigo, администраторы в обязательном порядке должны предпринимать все, чтобы предотвратить заражение.

Начиная с публикации отчета в 2014 году, ESET продолжает свой путь по борьбе и защите от вредоносного ПО Linux/Windigo, а также других угроз кибербезопасности, например, Linux/Ebury.

 

Источник: WeLiveSecurity