[Tanel]

link :: ESET


PRESSITEADE - ESET®-i turbeteadurid on koostöös CERT-Bund’i, Rootsi Riikliku Andmetöötlusinfrastruktuuri ja muude agentuuridega paljastanud laiaulatusliku küberkuritegevuse kampaania, mis on kogu maailmas haaranud kontrolli enam kui 25 000 UNIXi serveri üle.

Turbeekspertide poolt operatsiooniks Windigo ristitud rünne on pannud nakatunud serverid saatma välja miljoneid rämpsmeile. Selle keerukate pahavarakomponentide kompleksne sõlm on disainitud servereid kaaperdama, neid külastavaid arvuteid nakatama ja infot varastama.

Operatsioon Windigo ohvriteks on muuhulgas langenud cPanel ja kernel.org

Windigo paljastanud ESETi turbeuuringute meeskond avaldas täna üksikasjaliku tehnilise artikli esitlemaks meeskonna poolt läbiviidud juurdluse ja teostatud pahavaraanalüüsi tulemusi. See artikkel annab nõu ka selle kohta, kuidas teha kindlaks, kas teie süsteemid on mõjutatud, ja sisaldab pahatahtliku koodi eemaldamise juhiseid.

OPERATSIOON WINDIGO: kogunud jõudu rohkem kui kolme aasta jooksul
Kuigi mõned eksperdid on märganud Windigo küberkuritegeliku kampaania elemente, on turbekogukonnale jäänud suuresti mõistmatuks selle operatsiooni tegelik mastaap ja komplekssus.

"Windigo on turbekogukonnale suuresti märkamata jäädes kogunud jõudu enam kui kahe ja poole aasta jooksul ning hetkel on selle kontrolli all 10 000 serverit," ütles ESETi turbeteadur Marc-Étienne Léveillé. "Iga päev saadetakse üle 35 miljoni rämpssõnumi süütute kasutajate kontodele, ummistades sisendkaste ja ohustades arvutisüsteeme. Ent mis veelgi hullem – iga päev satub nakatumisohtu üle poole miljoni arvuti selliste veebisaitide külastamisel, mis on mürgitatud Windigo operatsiooni käigus istutatud veebiserveri pahavaraga, mis suunab ümber pahatahtlikele vallutuskomplektidele ja reklaamidele."

Huvitaval kombel on nii, et kuigi Windigo poolt mõjutatud veebisaidid püüavad külastavaid Windowsiga arvuteid nakatada pahavaraga vallutuskomplekti kaudu, siis Mac’i kasutajatele serveeritakse tüüpiliselt kohtingusaitide reklaame ning iPhone’i omanikud suunatakse ümber pornograafilisele onlainsisule.

Üleskutse süsteemiadministraatoritele Windigole vastu astumiseks
Üle 60% maailma veebisaitidest töötab Linuxi serveritel ning ESETi teadurid kutsuvad veebmeistreid ja süsteemiadministraatoreid oma süsteeme kontrollima, et teha kindlaks, kas need on kompromiteeritud.

"Veebmeistritel ja IT-rahval on juba küllalt ebameeldivusi ja meeles mõlkuvaid muresid, mistõttu ei tahaks me sugugi nende töökoormust veelgi suurendada, ent see on tähtis. Igaüks tahab olla hea netikodanik ning see on teie võimalus anda oma panuse ja aidata kaitsta teisi Interneti-kasutajaid," ütles Léveillé. "Viimane asi, mida igaüks peaks tahtma, on olla probleemi osaks ning aidata kaasa pahavara ja spämmi levikule. Mõne minutiga saab olukorda muuta ja kindlustada, et te olete osaks lahendusest."

Kuidas saada aru, kas server on hädas Windigoga?
ESETi teadurid, kes andsid Windigole nime algonkini indiaanifolkloorist pärit müütilise olendi järgi selle kannibalistliku olemuse tõttu, pöörduvad UNIXi süsteemiadministraatorite ja veebmeistrite poole palvega anda järgmine käsk, mis ütleb neile, kas nende server on kompromiteeritud või mitte:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Karm lahendus Windigo ohvritele
"Windigo küberkuritegeliku operatsiooni poolt rakendatav Ebury tagauks ei kasuta ära nõrkust Linuxis või OpenSSH-s," jätkas Léveillé. "Selle asemel installeerib pahatahtlik ründaja selle käsitsi. Külmavärinaid tekitab fakt, et nad on suutnud seda teha kümnetel tuhandetel erinevatel serveritel. Kuigi viirusetõrje ja kaheastmeline autentimine on tavalised lauaarvuti puhul, kasutatakse neid harva serverite kaitsmiseks, mistõttu on serverid haavatavad mandaatide varastamise ja pahavara lihtsalt paigaldamise suhtes."

Kui süsteemiadministraatorid avastavad, et nende süsteemid on nakatunud, siis on neil soovitav mõjutatud arvutid püsivalt kustutades puhastada ning installeerida opsüsteem ja tarkvara uuesti. Hädavajalik on uute paroolide ja privaatvõtmete kasutamine, kuna olemasolevaid mandaate tuleb pidada kompromiteerituks.

Kõrgematasemelise kaitse kindlustamiseks tulevikus tuleks kaaluda tehnoloogia nagu kaheastmeline autentimine rakendamist.

"Me mõistame, et serveri püsivalt kustutades puhastamine ja uuesti nullist alustamine on karm lahendus, ent kui häkkerid on varastanud või kräkkinud administraatori mandaadid ning kaugpöördunud teie serverite poole, siis ei saa te riskida," selgitas Léveillé. "Kahjuks esineb ohvreid, kellega me oleme ühenduses olnud ja kes teavad oma nakatumisest, ent kes ei ole ometi midagi teinud oma süsteemide puhastamiseks, seades sellega potentsiaalselt veel enam Interneti-kasutajaid tulejoonele."

Kõikidele arvutikasutajatele tuletatakse meelde, et nad ei tohiks kunagi paroole taaskasutada ega valida lihtsalt kräkitavaid paroole.

Lisainfo
ESET avaldas küberkuritegeliku kampaania operatsioon Windigo uurimise üksikasjalikud tulemused ning infot seda ohtu moodustavate erinevate pahavarakomponentide kohta. Külastage järgmist veebisaiti terve raporti allalaadimiseks: welivesecurity.com/windigo

[Sults]

Kas see käsurida ikka annab õige tulemuse? Kahtlen! Käsk on ikka ilma selle rea alguse dollari märgita.

Õige on anda käsk:
ssh -G

Nakatumata masin annab vastuseks miskit taolist (oluline on esimese rea "illegal option" olemasolu, nakatatud masinates see puudub):
ssh: illegal option -- G
usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
[-D [bind_address:]port] [-E log_file] [-e escape_char]
[-F configfile] [-I pkcs11] [-i identity_file]
[-L [bind_address:]port:host:hostport] [-l login_name] [-m mac_spec]
[-O ctl_cmd] [-o option] [-p port]
[-Q cipher | cipher-auth | mac | kex | key]
[-R [bind_address:]port:host:hostport] [-S ctl_path] [-W host:port]
[-w local_tun[:remote_tun]] [user@]hostname [command]

[klf]

Sults, ole mõistlik. "... pöörduvad UNIXi süsteemiadministraatorite ja veebmeistrite poole ...

Need kes pidid aru saama, said aru. (Pressiteade on aga FUD maiguga, seda küll.)

[Sults]

Püüan olla. Kommenteerisin selleks, et kui mõni isikliku linuxipurgi omanik Taneli kommentaarist kogu selle rea oma purgi käsuaknasse kopeerib ja tulemuseks "System infected" saab, siis väga ära ei ehmataks.

[klf]

Õige märkus tegelikult. Vastavalt sellele, kuidas desktop linux populaarsust kogub, tuleb ka paskvara pealetung.

[mihkelv]

[mikk36]

mihkelv, ja mis juhtub, kui sisestad käsu "$ ssh -G 2"?
Vastus: "$: command not found" ja antud käsurida selle peale annaks "System infected", kuna ei leitud sõnu "illegal" ja "unknown".

[Andrus Luht]

[Sults]

[tahanteada]

Aga kas keegi ka seda seika tähele paneb, et ESET teab selle "salapärase puugi" olemasolust juba mitu aastat, kuid siiamaani pole midagi keegi ette võtnud.

PS: Ja mingil netilehel viidati ka sellele, et see "puuk" muudkui levib tasapisi edasi ja edasi, uusi servereid nakatades.

[mikk36]

Andrus Luht, millest järeldad et ma arvan et see hea mõte on?

[mihkelv]

Aaa. Te pidasite seda silmas, et kui mõni "admin" toksib $ ka käsureale
No tahaks sellist adminni näha. Tegelikult ei pea selleks isegi adminn olema. Kui inimene kasutab linuxit ja teab ning kasutab ssh-d käsurealt (või on muidu aktiivne käsurea kasutaja), siis teab ta ka seda, miks mõnede käskude ees on $ ja mõnede ees võib olla #. Need on ju elementaarsed märgid, näitamaks mis õigustes tuleb käsku sisestada.

[Sults]

Toksimine toksimiseks, kogu rea kopeerimist pidasin silmas. Ja veateate kasutaja eest ära peitmine ja mingi poolpiduse loogika alusel muu sõnumiga asendamine ei ole hea mõte, sest pikka joru kirjutades võib ka muidu sisse sattuda mõni typo, mis poolpiduse loogika üle trumpab.
Miks peab üks kõva süsteemiadmin oma süsteemi puhtuse üle otsustama sellisel viisil?

[tahanteada]