بيت Securitywatch Windigo يخطف 25000 خوادم لإخراج البريد المزعج والبرامج الضارة

Windigo يخطف 25000 خوادم لإخراج البريد المزعج والبرامج الضارة

فيديو: How To Fix Hacked WordPress Site - Step by Step (شهر نوفمبر 2024)

فيديو: How To Fix Hacked WordPress Site - Step by Step (شهر نوفمبر 2024)
Anonim

وقالت ESET إن المهاجمين أصيبوا وسيطروا على أكثر من 25000 خادم من خوادم يونكس لإنشاء منصة ضخمة لتوزيع البريد العشوائي والبرامج الضارة. يحتاج مسؤولو Linux و Unix إلى التحقق على الفور من أن خوادمهم من بين الضحايا.

تستخدم العصابة وراء حملة الهجوم الخوادم المصابة لسرقة بيانات الاعتماد وتوزيع البريد العشوائي والبرامج الضارة وإعادة توجيه المستخدمين إلى المواقع الضارة. يرسل الخوادم المصابة 35 مليون رسالة غير مرغوب فيها يوميًا ، ويعيد توجيه نصف مليون زائر عبر الإنترنت إلى المواقع الضارة يوميًا ، وفقًا لما قاله بيير مارك ، مدير برنامج الاستخبارات الأمنية في ESET. يعتقد الباحثون أن الحملة ، التي أطلق عليها اسم عملية Windigo ، اختطفت أكثر من 25000 خادم في العامين ونصف العام الماضيين. المجموعة لديها حاليا 10000 خوادم تحت سيطرتها ، وقال المكتب.

أصدرت ESET ورقة تقنية تحتوي على مزيد من التفاصيل حول الحملة ، وتضمنت أمرًا بسيطًا يمكن أن يستخدمه المسؤولون لمعرفة ما إذا كانت خوادمهم قد اختطفت أم لا. إذا حدث ذلك ، يجب على المسؤولين إعادة تثبيت نظام التشغيل على الخادم المصاب وتغيير جميع بيانات الاعتماد المستخدمة من أي وقت مضى لتسجيل الدخول إلى الجهاز. ونظرًا لأن ESET قد حصدت بيانات الاعتماد ، ينبغي للمسؤولين أن يفترضوا أن جميع كلمات المرور ومفاتيح OpenSSH الخاصة المستخدمة على هذا الجهاز معرضة للخطر ويجب تغييرها. تنطبق التوصيات على مسؤولي يونكس ولينكس.

قد يبدو مسح الجهاز وإعادة تثبيت نظام التشغيل من نقطة الصفر قليلاً ، لكن بالنظر إلى أن المهاجمين قد سرقوا بيانات اعتماد المسؤول ، وقاموا بتركيب خلفي ، وحصلوا على وصول عن بعد إلى الخوادم ، يبدو أن استخدام الخيار النووي ضروري.

عناصر الهجوم

تعتمد Windigo على مجموعة من البرامج الضارة المتطورة لاختطاف الخوادم وإصابةها ، بما في ذلك Linux / Ebury ، و OpenSSH backdoor و stealer ، وكذلك خمس قطع من البرامج الضارة. خلال عطلة نهاية أسبوع واحدة ، لاحظ باحثو ESET أكثر من 1.1 مليون عنوان IP مختلف يمر عبر البنية التحتية Windigo قبل إعادة توجيهها إلى مواقع ضارة.

المواقع التي تعرض موقع Windigo للخطر من جانب مستخدمي Windows المصابين بدورهم باستخدام مجموعة استغلال تضغط على النقر فوق البرامج الضارة وإرسال الرسائل غير المرغوب فيها ، وأظهرت مواقع مشكوك فيها حول مواقع المواعدة لمستخدمي Mac ، وأعدت توجيه مستخدمي iPhone إلى مواقع إباحية عبر الإنترنت. وقال المكتب إن المنظمات المعروفة مثل cPanel و kernel.org كانت من بين الضحايا ، رغم أنهم قاموا بتنظيف أنظمتهم.

وقال مكتب أنظمة التشغيل التي تتأثر مكون البريد المزعج تشمل لينكس ، فري ، OpenBSD ، OS X ، وحتى ويندوز.

خوادم روغ

بالنظر إلى أن ثلاثة من بين كل خمسة مواقع ويب في العالم تعمل على خوادم Linux ، فإن لدى Windigo الكثير من الضحايا المحتملين الذين يمكنهم اللعب معهم. وقالت ESET إن الباب الخلفي المستخدم للتسوية على الخوادم قد تم تثبيته يدويًا ويستغل ضوابط التهيئة والأمان الضعيفة ، وليس نقاط الضعف في البرامج في نظام التشغيل.

وقال المكتب: "هذا الرقم مهم إذا كنت تعتقد أن كل نظام من هذه الأنظمة لديه حق الوصول إلى النطاق الترددي الكبير والتخزين وقوة الحوسبة والذاكرة".

حفنة من الخوادم المصابة بالبرمجيات الضارة يمكن أن تسبب ضررًا أكبر بكثير من الروبوتات الكبيرة لأجهزة الكمبيوتر العادية. تتمتع الخوادم عمومًا بأجهزة أفضل وقدرة معالجة أفضل ، ولها اتصالات شبكة أسرع من أجهزة كمبيوتر المستخدم النهائي. تذكر أن هجمات الحرمان الموزعة القوية من الخدمة على مختلف المواقع المصرفية في العام الماضي نشأت من خوادم الويب المصابة في مراكز البيانات. إذا كان الفريق وراء Windigo يحول أي وقت مضى التكتيكات من مجرد استخدام البنية التحتية لنشر الرسائل غير المرغوب فيها والبرامج الضارة إلى شيء أكثر سوءًا ، فقد يكون الضرر الناتج كبيرًا.

Windigo يخطف 25000 خوادم لإخراج البريد المزعج والبرامج الضارة