Не менее 800 серверов в России заражены в ходе «Операции Windigo»

Александр Панасенко 26 Марта 2014 - 14:46

...

Международная антивирусная компания ESET опубликовала результаты анализа «Операции Windigo» – крупнейшей кибератаки, жертвами которой стали тысячи серверов. Инфицированные системы используются для кражи учетных данных, перенаправления трафика на вредоносный контент, заражения пользователей ирассылки спама.

Операция Windigo началась предположительно в 2011 году. В течение нескольких лет ее организаторам удалось скомпрометировать более 25 000 Linux- и UNIX-серверов и широкий спектр операционных систем, включая Windows, OS X, OpenBSD, FreeBSD и Linux. В числе пострадавших от Windigo такие организации, как cPanel и Linux Foundation.

Для получения доступа к серверам авторы Windigo не использовали какие-либо уязвимости – только украденные учетные данные и изначально скомпрометированные приложения. В дальнейшем база учетных записей пополнялась за счет вновь зараженных машин.

Сегодня в мире используется порядка 10 000 зараженных серверов. Ежедневно на набор эксплойтов перенаправляются свыше 500 000 посетителей скомпрометированных сайтов. В случае успешного перенаправления уровень заражения достигает 1%. Windigo отвечает также за рассылку порядка 35 млн спам-писем в день.

«Мы установили, что атакующие смогли провести операцию установки вредоносной программы на десятках тысяч серверов, – говорит Марк-Этьен Левейе, вирусный аналитик ESET. – Использование антивирусных продуктов и механизмов двухфакторной аутентификации для рабочих станций является обычным явлением, но, к сожалению, эти способы редко применяют для защиты серверов. Как следствие – злоумышленники могут установить вредоносный код и похитить аутентификационные данные учетных записей».

Эксперты вирусной лаборатории ESET совместно с группой CERT-Bund, исследовательским центром SNIC, организацией CERN и другими участниками международной рабочей группы выяснили, что в операции Windigo было задействовано 6 видов вредоносного ПО и сервисов:

Linux/Ebury – компрометирует серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку и возможность кражи учетных данных SSH;
Linux/Cdorked – компрометирует веб-серверы под управлением Linux, предоставляет злоумышленникам полный доступ к системе через командную строку, отвечает за заражение вредоносным кодом пользователей Windows;
Linux/Onimiki – компрометирует DNS-серверы Linux, отвечает за преобразование доменных имен, совпадающих с определенным шаблоном, в соответствующие IP-адреса;
Perl/Calfbot – компрометирует все ОС, которые имеют в своем составе установленный пакет Perl, отвечает за рассылку спама;
Win32/Boaxxe.G – используется для организации кликфрода;
Win32/Glupteba.M – используется как прокси-сервис для Windows.

Россия входит в число стран, где находится больше всего атакованных серверов. В частности, РФ занимает 8-ю строку списка государств, где находятся зараженные Linux/Ebury сервера, и входит в тройку стран, где обнаружено больше всего машин, пострадавших от Perl/Calfbot.

Атакующие по максимуму используют возможности скомпрометированных серверов и пользовательских устройств, запуская на них различное вредоносное ПО – в зависимости от полученного уровня доступа.

Участники рабочей группы ESET отмечают, что вредоносные программы Windigo разработаны на достаточно высоком уровне. В них используются техники сокрытия присутствия в системе, переносимость между различными платформами, криптография.

Чтобы детектировать заражение сервера, эксперты ESET рекомендуют веб-мастерам и системным администраторам запустить следующую команду:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

Если система заражена Windigo, потребуется полная очистка памяти, переустановка операционной системы и всего программного обеспечения. Необходимо также сменить все используемые пароли и ключи, поскольку существующие учетные данные могут быть скомпрометированы.

«Веб-мастерам и IT-специалистам хватает головной боли, и мы бы не беспокоили их, если бы это не было так важно, – объясняет Марк-Этьен Левейе. – Для каждого «гражданина сети» это шанс проявить сознательность и помочь защитить других пользователей. Никто не хочет участвовать в распространении спама и вредоносного ПО. Всего несколько минут – и вы поможете в решении этой проблемы».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 11:54

Android iOS Уязвимости программ Домашние пользователи

70% мобильных игр небезопасны: эксперты нашли сотни уязвимостей

Казалось бы, что может быть безобиднее мобильных игр? Пару уровней в дороге, быстрый матч перед сном — и никаких рисков. Но на практике всё не так радужно. По данным AppSec Solutions, семь из десяти игровых приложений для смартфонов содержат уязвимости, а каждая седьмая из них может быть потенциально опасной.

Специалисты компании проанализировали около 50 популярных мобильных игр с помощью инструмента AppSec.Sting и обнаружили порядка 700 уязвимостей. Из них 90 получили высокий или критический уровень опасности.

Самые тревожные находки — это банальные, но оттого не менее опасные ошибки. Так, в 12 приложениях пароли и токены хранились прямо в исходном коде, фактически в открытом виде. Для злоумышленников это настоящий подарок — такие данные легко извлекаются и могут использоваться для взлома.

Ещё 13 игр не имели проверки целостности, что позволяет без особых усилий модифицировать сборку и менять логику приложения.

«Это серьёзно упрощает вмешательство в работу игры — от читов до более опасных сценариев», — пояснил руководитель отдела анализа защищённости AppSec.Sting компании AppSec Solutions Никита Пинаев.

Эксперт выделил три ключевые проблемы, которые встречаются в мобильных играх особенно часто.

Во многих играх критически важные механики — расчёт наград, прогресса и внутриигровых ресурсов — реализованы на стороне клиента. Без полноценной серверной проверки это открывает дорогу к подмене данных, повторному воспроизведению запросов и манипуляциям с игровой экономикой. Итог — читы, перекос баланса, падение честности и доверия игроков.

Небезопасное хранение данных и слабая защита сетевого взаимодействия. Конфиденциальная информация нередко хранится локально без шифрования и контроля целостности. К этому добавляются проблемы с сетевой защитой — отсутствие проверок подлинности запросов и защиты от повторного воспроизведения. Всё это создаёт условия для утечек данных и автоматизации мошеннических сценариев.

Многие приложения поставляются без обфускации кода и базовых механизмов защиты. В результате бизнес-логика легко анализируется, конфиденциальные параметры извлекаются, а модифицированные клиенты распространяются быстрее, чем разработчики успевают реагировать.

На первый взгляд проблемы выглядят «внутриигровыми», но на деле они оборачиваются вполне реальными рисками — финансовыми потерями, ростом мошенничества и репутационными издержками. И страдают от этого не только студии, но и обычные пользователи.

Эксперты AppSec Solutions напоминают простые, но эффективные правила цифровой гигиены:

Скачивайте игры только из официальных магазинов.
Сторонние источники — главный канал распространения модифицированных и вредоносных версий.
Осторожнее с модами и «взломами».
Читы — это не только риск бана, но и реальная угроза утечки данных или заражения устройства.
Следите за разрешениями.
Давайте игре только то, что действительно нужно для работы, и периодически пересматривайте доступы.
Обновляйте приложения и ОС.
Апдейты часто закрывают уязвимости, о которых вы даже не подозреваете.
Используйте уникальные пароли.
Для игровых аккаунтов — свои учётные данные и, по возможности, дополнительные механизмы защиты.

Мобильные игры давно перестали быть просто развлечением — вокруг них крутятся деньги, данные и целые цифровые экосистемы. А значит, относиться к их безопасности стоит не менее серьёзно, чем к банковским приложениям.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »