Ботнет Windigo заразил 800 Linux-серверов в России
Опубликовано: 05.09.2018
Порядка 800 интернет-серверов в России были взломаны и инфицированы в процессе крупной атаки ботнета Windigo. Россия входит в число регионов, наиболее пострадавших от инцидента.
Специалисты выяснили, что злоумышленники для осуществления кибератаки использовали шесть типов сервисов и вредоносных приложений. Россия занимает восьмое место по количеству веб-серверов, зараженных троянской утилитой Linux/Ebury, а также входит в тройку наиболее пострадавших от вируса Perl/Calfbot.
Linux/Ebury атакует обнаруженные Linux-серверы, предоставляя злоумышленникам доступ к системе через интерфейс командной строки, а также возможность похищать учетные данные SSH. Perl/Calfbot, отвечающий за автоматическую рассылку спама, способен атаковать все операционные системы, которые имеют в своем составе инсталлированный пакет Perl.
Специалисты предполагают, что ботнет Windigo запущен в 2011 году. За несколько лет организаторам атаки удалось скомпрометировать порядка 25 тысяч серверов на базе UNIX и Linux и большое количество других популярных систем, включая OS X, Windows, Linux, OpenBSD и FreeBSD. В числе пострадавших такие крупные компании как Linux Foundation, cPanel и другие.
Использование надежных антивирусов и двухфакторной аутентификации для персональных компьютеров – обычное явление, однако данные инструменты редко применяются администраторами для защиты серверов. Это облегчает злоумышленникам процесс взлома и кражи данных для аутентификации.
Для доступа к серверам, Windigo не пришлось использовать уязвимости – только первоначально скомпрометированные приложения и похищенные учетные данные. В дальнейшем размер базы с учетными записями увеличивался за счет новых инфицированных систем.
Интернет-ресурсы, которые обслуживались инфицированными веб-серверами, начинали перенаправлять пользователя на сайты злоумышленников, причем конечная страница зависит от используемой пользователем операционной системы. К примеру, Windows-компьютеры заражаются вирусами через уязвимость в браузере. Пользователи iPhone попадут на страницу с эротическим контентом, а OS X на интернет-сайт знакомств.
1820