Operation Windigo missbraucht Unix-Server für Malware-Infizierung
Mit einem Angriff, bekannt als Operation Windigo, hat eine kriminelle Gruppe es geschafft, 25.000 Unix- und Linux Web-Server seit 2011 zu infizieren. Die Server werden missbraucht, um Besucher der Website mit einer ganzen Palette von Malware zu infizieren. Wenn Windows-Anwender die kompromittierten Seiten besuchen, werden sie von Windigo zu bösartigen Zielseiten gesteuert.
Mac-Anwender landen dagegen auf Dating-Werbeseiten und iPhone-Besitzer werden zu Seiten mit pornografischer Werbung umgeleitet. Die infizierten Server werden auch benutzt, um Spam zu versenden, bis zu 35 Mio. Spam-Mitteilungen pro Tag, laut Untersuchungen von ESET. Das Unternehmen hat die Operation in Zusammenarbeit mit dem Bundesdeutschen Computer Emergency Response Team (CERT), der Swedish National Infrastructure for Computing (SNIC) Agentur und CERN, der Europäischen Organisation für Kernforschung aufgedeckt.
Laut ESET-Sicherheitsfachmann Marc-Étienne Léveillé kontrolliert Windigo knapp 10.000 Server fast unbemerkt von der IT-Sicherheitsgemeinschaft. Neben der unerwünschten Flut von Spammails, die Posteingänge verstopfen, bringen sie auch Gefahr für die Computersysteme selbst. Léveillé ergänzt, dass die Opfer tatsächlich ihr System bereinigen und alles komplett neu installieren müssen. Das sei zwar ein hartes Schicksal, aber immer noch besser, als wenn alle Administratoren-Rechte gestohlen und die Computer missbraucht werden.
Alle Systemadministratoren sollten ihre Webserver auf Linux-Malware hin überprüfen, einschließlich eines unbequemen Rootkits bekannt als Ebury SSH für Linux und Unix. Eine andere Komponenten der Malware ist Cdorked mit einer http-Backdoor zu httpd von Apache, Nginx und lighttpd – die gebräuchlichsten Webserver der Welt. Die zwei Kernstücke der Windows Malware sind Win32/Boaxxe.G, eine Klick-Betrugsmalware, sowie Win32/Glubteta.M, ein Proxy für Windows.
Die Verwendung von seriösen Webseiten zur Verbreitung von Malware ist eine zunehmend beliebte Art der Vorgehensweise von kriminellen Cybergruppen. Die Sicherheitsfirma Sucuri deckte eine ähnliche Kampagne auf, die im März etwa 162.000 seriöse WordPress-Seiten gekapert hatte.
Zu den Länder mit den meisten Infizierungen gehören die USA, Deutschland, Frankreich, Italien und Großbritannien.
Artikel von zdnet.com, 19.03.2014: Botnet of thousands of Linux servers pumps Windows desktop malware onto web
Artikel von v3.co.uk, 18.03.2014: Hackers hit Unix servers to send 35 million spam messages a day