Video: ВОШЕЛ В СТИМ БЕЗ ЛОГИНА. НОВЫЙ БАГ ИЛИ ФИЧА?! НЕВИДИМЫЙ ЛОГИН STEAM (Desember 2024)
Penyerang menginfeksi dan menguasai lebih dari 25.000 server Unix untuk membuat platform distribusi spam dan malware besar-besaran, kata ESET. Administrator Linux dan Unix perlu segera memeriksa apakah server mereka termasuk di antara korban.
Geng di balik kampanye serangan menggunakan server yang terinfeksi untuk mencuri kredensial, mendistribusikan spam dan malware, dan mengarahkan pengguna ke situs jahat. Server yang terinfeksi mengirim 35 juta pesan spam setiap hari, dan mengarahkan setengah juta pengunjung Web ke situs jahat setiap hari, kata Pierre-Marc Bureau, seorang manajer program intelijen keamanan di ESET. Para peneliti percaya kampanye itu, yang dijuluki Operation Windigo, telah membajak lebih dari 25.000 server dalam dua setengah tahun terakhir. Grup saat ini memiliki 10.000 server di bawah kendali mereka, kata Bureau.
ESET merilis makalah teknis dengan rincian lebih lanjut tentang kampanye, dan termasuk perintah ssh sederhana yang dapat digunakan administrator untuk mencari tahu apakah server mereka telah dibajak. Jika itu yang terjadi, administrator harus menginstal ulang sistem operasi pada server yang terinfeksi dan mengubah semua kredensial yang pernah digunakan untuk masuk ke mesin. Sejak Windigo memanen kredensial, administrator harus mengasumsikan semua kata sandi dan kunci OpenSSH pribadi yang digunakan pada mesin itu dikompromikan dan harus diubah, ESET memperingatkan. Rekomendasi ini berlaku untuk administrator Unix dan Linux.
Menyeka mesin dan menginstal ulang sistem operasi dari awal mungkin terdengar sedikit ekstrem, tetapi mengingat bahwa para penyerang telah mencuri kredensial administrator, memasang backdoors, dan telah memperoleh akses jarak jauh ke server, mengambil opsi nuklir sepertinya diperlukan.
Elemen Serangan
Windigo mengandalkan serangkaian malware canggih untuk membajak dan menginfeksi server, termasuk Linux / Ebury, sebuah backdoor OpenSSH dan pencuri kredensial, serta lima malware lainnya. Selama akhir pekan tunggal, para peneliti ESET mengamati lebih dari 1, 1 juta alamat IP berbeda yang melewati infrastruktur Windigo sebelum dialihkan ke situs berbahaya.
Situs web yang dikompromikan oleh Windigo pada gilirannya menginfeksi pengguna Windows dengan kit eksploitasi yang mendorong penipuan klik dan malware pengirim spam, menunjukkan pertanyaan untuk situs kencan ke pengguna Mac, dan mengarahkan pengguna iPhone ke situs porno online. Organisasi terkenal seperti cPanel dan kernel.org adalah di antara para korban, meskipun mereka telah membersihkan sistem mereka, kata Bureau.
Sistem operasi yang dipengaruhi oleh komponen spam termasuk Linux, FreeBSD, OpenBSD, OS X, dan bahkan Windows, kata Bureau.
Server Nakal
Mempertimbangkan bahwa tiga dari lima situs web dunia berjalan di server Linux, Windigo memiliki banyak calon korban untuk dimainkan. Backdoor yang digunakan untuk mengkompromikan server diinstal secara manual dan mengeksploitasi konfigurasi yang buruk dan kontrol keamanan, bukan kerentanan perangkat lunak dalam sistem operasi, kata ESET.
"Angka ini signifikan jika Anda menganggap masing-masing sistem ini memiliki akses ke bandwidth, penyimpanan, daya komputasi, dan memori yang signifikan, " kata Bureau.
Sejumlah server yang terinfeksi malware dapat menyebabkan lebih banyak kerusakan daripada botnet besar komputer biasa. Server umumnya memiliki perangkat keras dan kekuatan pemrosesan yang lebih baik, dan memiliki koneksi jaringan yang lebih cepat daripada komputer pengguna akhir. Ingatlah bahwa penolakan serangan layanan terdistribusi yang kuat terhadap berbagai situs web perbankan tahun lalu berasal dari server Web yang terinfeksi di pusat data. Jika tim di belakang Windigo pernah mengubah taktik dari hanya menggunakan infrastruktur untuk menyebarkan spam dan malware ke sesuatu yang lebih jahat, kerusakan yang dihasilkan bisa jadi signifikan.