Новые компоненты ботнета Windigo
По сообщению компании ESET, ее вирусная лаборатория обнаружила новый образец вредоносной программы Linux/Ebury – основного компонента ботнета Windigo. Исследование подтвердило, что Ebury продолжает активно использоваться атакующими, и инфраструктура, предназначенная для кражи данных, все еще функционирует.
В марте 2014 г. ESET совместно с экспертной группой CERT-Bund и исследовательским центром SNIC опубликовала отчет об «Операции Windigo». Вредоносная кампания продолжалась как минимум с 2011 г., за несколько лет операторы ботнета скомпрометировали более 25 тыс. Linux и UNIX-серверов, а также устройства на базе ОС Windows, OS X, OpenBSD, FreeBSD и Linux.
Основной компонент «Операции Windigo» – OpenSSH-бэкдор и инструмент кражи данных Linux/Ebury, установленный на десятки тысяч серверов. С его помощью атакующие загружали в скомпрометированные системы дополнительные программы для кражи учетных данных, перенаправления трафика на вредоносный контент, заражения пользователей и рассылки спама.
В августе 2015 г. был арестован Максим Сенах, один из подозреваемых в организации ботнета Windigo. Вскоре после его ареста система телеметрии ESET показала снижение активности одного из компонентов ботнета – вредоносной программы Linux/Cdorked, предназначенной для перенаправления Web-трафика. Как было установлено впоследствии, Сенах получал прибыль от этого вида вредоносной деятельности Windigo.
Активность Linux/Cdorked до настоящего времени не возобновлена. Тем не менее ботнет Windigo продолжает работу. Например, в ESET наблюдали новые версии программы Win32/Glupteba, также связанной с Windigo и отвечающей в составе ботнета за рассылку спама.
Наконец, в феврале 2017 г. специалисты ESET обнаружили новый образец Ebury (версия 1.6), с рядом существенных доработок. Теперь Ebury использует новый алгоритм генерации доменов (DGA) для передачи украденных данных. Авторы вредоносного ПО предусмотрели методы самомаскировки и новые способы внедрения в процессы, связанные с OpenSSH.
Кроме того, операторы Windigo изучают исследования поставщиков решений для безопасности и дорабатывают вредоносные инструменты, чтобы обходить индикаторы заражения и избегать обнаружения.