reklama

Infikované servery denně rozesílají 35 milionů nevyžádaných zpráv a ohrožují půl milionu počítačů

Při pátrání po tom, jak kriminální živly využívají malware s označením Linux/Ebury, který byl zjištěn již v roce 2011, se bezpečnostním expertům společnosti ESET, společně s kolegy
z organizací CERT-Bund, Swedish National Infrastructure for Computing a dalších, podařlo odhalit síť serverů, ovládaných útočníky a zneužívaných ke kriminální činnosti.

Počet serverů, ovládnutých v rámci útoku, který bezpečnostní experti nazvali „Operace Windigo“, je 25 tisíc – především v USA, Velké Británii a Německu. Většinu jejich správci po upozornění vyčistili, ale deset tisíc serverů útočníci stále ještě ovládají a nadále zneužívají ke kriminální činnosti.

Operace Windigo je unikátní tím, že cílem útoku nebyly počítače uživatelů, ale přímo servery. „Sítě ovládaných počítačů, takzvané botnety, jsou bohužel docela běžné. Ale takhle rozsáhlá síť ovládaných serverů představuje obrovský výpočetní výkon a přenosovou kapacitu, což z ní dělá významnou hrozbu,“ komentuje Petr Šnajdr, bezpečnostní expert společnosti ESET.

Cílem Operace Windigo byly servery s operačním systémem Linux, které představují 60 procent ze všech internetových serverů. Klíčovou komponentou útoku je trojan Linux/Ebury, který byl odhalen již v roce 2011. Ovládnutí serverů však nebylo založeno na zneužití nějaké bezpečnostní díry v systému. Útoky spočívaly ve zneužití přístupových oprávnění administrátorů, která se se útočníkům podařilo získat. „Je zatím záhadou, jak se mohlo podařit získat přístupové údaje v tak masivním měřítku, a jak je možné, že tato operace zůstala tak dlouho bez povšimnutí,“ říká Petr Šnajdr. „V každém případě je ale jasné, že pouhé heslo – jakkoli složité a třeba i často obměňované – k zabezpečené serveru prostě nestačí. Jednoznačně je potřeba spolehlivější ochrana v podobě dvoufaktorové autentizace,“ dodává Petr Šnajdr.

Ovládané servery slouží především k rozesílání spamu – aktuálně je to 35 miliónu nevyžádaných zpráv denně. Jejich další využití závisí na operačním systému počítače, který
k danému serveru přistupuje. V případě platformy Windows se servery snaží hledat díry
v zabezpečení a implantovat do počítače malware. Každý den to infikované servery zkoušejí na půl milionu počítačů; úspěšnost se podle expertů z laboratoří společnosti ESET pohybuje okolo jednoho procenta.

V případě platformy MAC nebo iOS servery přesměrovávají návštěvníky na internetové seznamky nebo pornografické stránky.

„Síť ovládaných serverů by nejspíš bylo možné zneužít k cílenému zahlcování počítačů, tedy
k takzvaným DDoS útokům. Naštěstí zatím nejsou známky, že by se tak dělo, ale je to o důvod víc, aby správci serverů dbali na zabezpečení,“ varuje Petr Šnajdr.

Kontrola, zde server není ovládán útočníky v rámci Operace Windigo není složitá. Stačí jednoduchý dotaz do systému; postup je, spolu s dalšími technickými informacemi, k nalezení na welivesecurity.com/windigo.

„V případě, že server je infikován, je jediným rozumným řešením jeho kompletní reinstalace,“ doporučuje Petr Šnajdr.

Témata článku: Servery, Petr, Cert

reklama