Из 25 тыс. серверов, зараженных в ходе массивной кибератаки Windigo, 800 находились в России. Специалисты указывают на высокий профессионализм организаторов кампании, которым удалось охватить различные операционные системы и устройства. Не менее 800 серверов в России были заражены в ходе кибератаки Windigo, сообщает Eset. Россия входит в число стран, где находится больше всего атакованных серверов, добавили в антивирусной компании. Эксперты выяснили, что в кибератаке Windigo было задействовано шесть видов вредоносного ПО и сервисов. При этом Россия занимает восьмую строку списка государств, где находятся серверы, зараженные трояном Linux/Ebury, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от трояна Perl/Calfbot. Троян Linux/Ebury компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH. В свою очередь, Perl/Calfbot компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, и отвечает за рассылку спама. Операция Windigo началась предположительно в 2011 г. В течение нескольких лет ее организаторам удалось скомпрометировать более 25 тыс. Linux- и UNIX-серверов и широкий спектр операционных систем, включая Windows, OS X, OpenBSD, FreeBSD и Linux. В числе пострадавших от Windigo такие организации, как cPanel и Linux Foundation. «Мы установили, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов, – говорит Марк-Этьен Левейе (Marc-Etienne Leveille), вирусный аналитик Eset. – Использование антивирусных продуктов и механизмов двухфакторной аутентификации для рабочих станций является обычным явлением, но, к сожалению, эти способы редко применяют для защиты серверов. Как следствие – злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей». Для получения доступа к серверам авторы Windigo не использовали какие-либо уязвимости – только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин. Сегодня в мире используется порядка 10 тыс. зараженных серверов. Ежедневно на набор эксплойтов перенаправляются свыше 500 тыс. посетителей скомпрометированных сайтов. Windigo отвечает также за рассылку порядка 35 млн спам-писем в день. Веб-сайты, которые обслуживаются зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной операционной системы. Так, компьютеры с Windows заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему. Пользователь OS X будет перенаправлен на сайт знакомств, а iPhone — на страницу с порнографическим контентом.
Источник