Подробности «Операции Windigo»

Компания ESET совместно с экспертной группой CERT-Bund и исследовательским центром SNIC раскрыла кампанию «Операция Windigo» – атаки, направленной на Web-серверы под управлением Linux (свыше 60% рынка серверов) и пользовательские устройства на базе Windows, Mac OS X и iOS (iPhone). Кампания, по свидетельству экспертов, не имеет аналогов с точки зрения сложности, возможностей инфраструктуры и масштаба заражения.

Цели «Операции Windigo» – захват Web-серверов, заражение посещающих их компьютеров, генерация спам-писем и кража конфиденциальных данных. Ранее специалисты обнаруживали лишь отдельные элементы этой комплексной кампании, но истинный масштаб атаки и взаимосвязь вредоносных компонентов оставались недооцененными. В результате, по данным ESET, Windigo набирала силу 2,5 года, оставаясь незамеченным специалистами по ИБ; сейчас под контроль злоумышленников попало 10 тыс. Web-серверов, и каждый день пользователям отправляется свыше 35 млн спам-писем. Кроме того, под угрозой заражения находятся свыше 500 тыс. компьютеров ежедневно, поскольку их пользователи посещают сайты под управлением инфицированных Windigo Web-серверов.

В общей сложности киберпреступники установили контроль над 25 тыс. Web-серверов. За генерацию спама отвечает несколько вредоносных программ, которые обнаруживаются антивирусными продуктами ESET как Perl/Calfbot, Win32/Glupteba.M и Linux/Ebury. Генерировать спам могли как серверы (зараженные Perl/Calfbot и Linux/Ebury), так и рабочие станции (зараженные Win32/Glupteba.M). Сайты, которые обслуживаются зараженными Windigo серверами, перенаправляют пользователя на потенциально опасный контент в зависимости от установленной ОС: так, компьютеры с Windows заражаются вредоносным ПО, использующим уязвимость в браузере или плагине к нему. Пользователь Mac OS X будет перенаправлен на сайт знакомств, а iOS (iPhone) – на страницу с порнографическим контентом.

Эксперты ESET призывают Web-мастеров и системных администраторов проверить свои системы на предмет компрометации. Обнаружив угрозу, необходимо удалить все данные с зараженного сервера, переустановить ПО, обновить пароли и проверить учетные записи.

В ближайшее время ESET обещает опубликовать анализ комплекса вредоносных элементов, который используют организаторы «Операции Windigo» для заражения серверов и пользовательских устройств. Более подробная информация о детектировании и устранении угрозы доступна в техническом докладе «Операция Windigo».