|
Изглежда, че кампанията на Linux/Cdorked продължава с пълна сила. И специалистите по компютърна безопасност, така и не могат да разберат кой е източникът на атаката.
Това става ясно от последното разкритие на специалистите от компанията за компютърна сигурност ESET.
Миналата седмица ви информирахме за съвместният анализ на словашката компания и Succuri и разкритията им за дейсността на бекдор програмата, която заразява масово Apache сървъри.
И специалистите от ESET отбелязват развитие на зловредната дейност на Linux/Cdorked и то не е в положителна насока. Изглежда, че бекдорът вече компрометира Lighttpd и Nginx Web сървъри - платформи, които се ползват широко в интернет пространството.
Марк Етиен М. Левей (Marc-Etienne M. Leveille) споделя, че ESET са открили вече 400 заразени уеб сървъра дотук (публикацията е от вчера). "Ние все още не знаем как малуер програмата е била интегрирана в сървърите", заявява Левей. "Едно нещо е сигурно обаче: програмата не се разпространява от само себе си и не ползва уязвимост в конкретен софтуер, за да го направи".
Предполага се, че Linux/Cdorked е активен поне от декември миналата година. Той пренасочва своите жертви към компрометирани уебсайтове, които свързват атакуваната страна с комплекта за експлоатиране на уязвимости Blackhole. Пренасочването се осъществява само, ако потребителят е посетил въпросната страница с браузър Internet Explorer или Firefox и е под операционна система Microsoft XP, Vista или 7. Интересното е, че потребителите на iPad или iPhone също не за застраховани, като те обаче биват пренасочвани към порно сайтове.
Притеснителното в случая е, че ползвайки данни от засечените заплахи от потребителската общност на ESET, специалистите са установили, че близо 100 000 от техните клиенти са се натъкнали на Linux/Cdorked досега.
Поведението на домейните, към които са пренасочвани жертвите на бекдора предполага също така, че киберпрестъпниците са компрометирали също така и няколко DNS сървъра.
Другото интересно нещо, което регистрират специалистите от ESET е, че ако интернет потребител, който посещава въпросната компрометирана уебстраница с японско, финландско, руско, украинско, казахско или беларуско IP или просто настройките на браузъра му са пригодени да ползват един от въпросните езици, той не бива пренасочван към зловредно съдържание.
Linux/Cdorked се прикрива добре от антивирусните радари, но не е съвършен. Той оставя httpd бинарен файл на твърдия диск, който би могъл да бъде засечен от антималуер скенерите. Лошото е, че командите, които изпращат създателите на Linux/Cdorked не биват регистрирани в обикновените логове на Apache, а самото пренасочване към зловредното съдържание се осъществява в паметта на системата, а не чрез твърдия диск.
За администраторите, които се страхуват, че може да са паднали жертва на бекдор програмата, ESET, публикува специален инструмент, с който може да проверят за наличието на Linux/Cdorked.A.
Публикацията на ESET, тук. |
|
