Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Siden 2011 har cyberkriminelle kørt en omfattende operation, som forskere nu kalder for Windigo. Mere end 25.000 Unix-severe er blevet berørt, og over 500.000 computere er dagligt blevet angrebet. De kompromitterede servere bliver brugt til at stjæle SSH-detaljer til at sende besøgende over til sites med ondsindet kode, og de inficerede pc’er bruges til at udsende spam.
Forskere fra ESET har arbejdet sammen med CERT-Bund, Swedish National Infrastructure for Computer (SNIC) og andre organisationer, og selvom banden bag Windigo endnu ikke er fanget eller stoppet, ved vi nu, hvordan anatomien bag angrebet er, forklarer Anders Nilsson, sikkerhedsspecialist fra ESET Norden.
Vores analyse af Windigo viser samtidig, at de folk, der står bag angrebet, besidder et betragteligt kendskab til webservere, operativsystemer og programmering – ellers ville det ikke have været muligt for dem at udvikle og udbrede Windigo i det omfang, det er sket. Den Ebury-backdoor, der bliver brugt af Operation Windigo, udnytter ikke sårbarheder i Linux eller OpenSSH. I stedet bliver den manuelt installeret af en ondsindet angriber.
At organisationen har været i stand til at gøre det på titusindvis af forskellige servere, er skræmmende. Mens antivirus og tofaktor-autentifikation er almindeligt på standard computere, bliver det meget sjældent brugt til at beskytte servere, hvilket gør dem sårbare over for identitetstyveri og til lette mål for at udbrede malware.
Det er de gamle sårbarheder, der bruges
Det, der er så skræmmende i Windigo, er, at den ikke bruger nye sårbarheder. Den baserer sig udelukkende på kendte sårbarheder i webservere, hvilket viser, hvor vigtigt det er at patche sine systemer hele tiden. I næsten tre år fløj Windigo under radaren hos sikkerhedseksperterne og samlede styrke. På det tidspunkt, hvor vi begyndte at lægge mærke til Windigo, havde de cyberkriminelle allerede over 10.000 servere under deres kontrol.
Hos ESET blev vi overraskede over, hvor kompleks operationen var, da vi for alvor begyndte at interessere os for Windigo. Det viste sig, at over 25.000 Unix-servere var inficerede af Windigo, da vi endelig fik afdækket omfanget. Det, vi fik afdækket, var en kompleks knude af sofistikerede malware-komponenter, der er designet til at kapre servere, inficere de computere, der besøger dem, og til at stjæle information. Nogle af dem, der er ofre for ’Operation Windigo’, inkluderer cPanel, der står bag det berømte webhosting-kontrolpanel og kernel.org, der er det vigtigste sted for kode til Linux-kernen.
Windigo er også skyld i, at over 35 millioner spambeskeder hver eneste dag bliver sendt til sagesløse folks konti, hvilket blokerer indboksen og bringer computerne i fare. Men hvad værre er, så bliver over en halv million computere dagligt udsat for infektionsrisici, når de bliver sendt til websteder, der er inficeret med server-malware placeret af Operation Windigo.
60 pct. af verdens servere i farezonen
Hvor Windigo-inficerede websteder forsøger at inficere besøgende Windows-computere med malware med et exploit kit, så vil Mac-brugere typisk få serveret annoncer for datingsider, og iPhone-brugere bliver sendt over til websteder, der har pornografisk indhold. Med over 25.000 webservere inficeret er der en god chance for, at vi alle kommer forbi en server påvirket af Windigo, ikke mindst når vi tager i betragtning, at over 60 pct. af verdens webservere kører på Linux-servere.
Derfor opfordrer vi webmastere og systemadministratorer til at tjekke deres systemer for at se, om de skulle være blevet kompromitterede. At tjekke om en server er inficeret med Windigo, er en ret let opgave. Den følgende kommando skal blot afvikles, og så dukker der hurtigt en besked op om, hvorvidt systemet er inficeret eller ej:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo ”System clean” || echo ”System infected”
Det er en langt mere alvorlig opgave, der venter webmasteren, hvis han opdager, at hans system er inficeret med Windigo. Så er der nemlig kun én ansvarlig vej at gå; nemlig at hele systemet og alle inficerede computere bør renses totalt, og operativsystemet og software skal geninstalleres. Det er samtidig vigtigt at bruge friske passwords og private nøgler, da de eksisterende oplysninger må betragtes som kompromitterede. Samtidig skal alle brugere på systemet mindes om ikke at genbruge passwords eller vælge passwords, der er lette at gætte.
Naturligvis er det en alvorlig opgave at slette dine servere og starte helt forfra, men hvis en cyberkriminel har stjålet eller knækket dine administratorrettigheder og dermed har haft adgang til dine servere, kan du ikke løbe nogen risiko. På bare én enkelt weekend har ESET observeret mere end 1,1 million forskellige ip-adresser gå igennem dele af Windigos infrastruktur, før de bliver sendt over til servere, der indeholder malware, der forsøger at udnytte den besøgende computer.
• Over 25.000 unikke servere er blevet kompromitteret i de sidste 2 år
• En bred vifte af systemer er blevet kompromitteret af angriberne: Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (gennem Cygwin) og Linux herunder Linux på ARM-arkitekturen
• Spam-udsendelsesmodulet er set på alle operativsystemer, mens SSH-bagdøren både er fundet på Linux og FreeBSD-servere
• Succesraten af at udnytte besøgende computere er ca. 1 procent
• Gruppen bag Windigo vil hellere stoppe ondsindede aktiviteter fremfor at blive opdaget
• Gruppen maksimerer brugen af serverressourcer ved at køre forskellig malware og aktiviteter afhængig af niveauet af adgang de har
