Chiến dịch mã độc Windigo

17:14 | 21/03/2014

Nhằm vào các máy chủ sử dụng hệ điều hành Linux, mã độc Windigo đã xâm nhập vào hàng nghìn máy tính và máy chủ trong thế giới mạng để đánh cắp thông tin hoặc chuyển hướng truy cập đến các trang web chứa nội dung độc hại.

Hãng bảo mật ESET đã gọi đây là "chiến dịch Windigo”, ảnh hưởng toàn cầu. Kẻ tấn công đã khai thác cổng hậu trong OpenSSH, một phiên bản nguồn mở của giao diện truy cập từ xa Secure Sockets Shell (SSH) được sử dụng để quản lý máy chủ. Nhóm chuyên gia của ESET cho biết, trong hai năm qua đã có hơn 500.000 máy tính và 25.000 máy chủ bị nhiễm loại mã độc này, trong số này, hơn 10.000 máy chủ vẫn còn đang bị nhiễm độc. Các nước bị ảnh hưởng nhiều nhất là Mỹ, Đức, Pháp, Ý, Anh, Hà Lan, Liên bang Nga, Ukraine, Mexico, Canada và Úc. Con số nhiễm mã độc trên tại Úc là hơn 400 máy chủ. Các chuyên gia cho rằng, việc trao đổi dữ liệu giữa người dùng với các máy chủ trên toàn thế giới khi duyệt các trang web và nhận email là nguyên nhân gây nhiễm mã độc Windigo cho các máy chủ. Các nhà nghiên cứu đã tiến hành một cuộc điều tra sâu vào cổng hậu Linux/Ebury, khám phá chiến dịch quy mô lớn mang tên Operation Windigo được cho là đã hoạt động liên tục ít nhất là từ năm 2011. Báo cáo cho thấy: " phát hiện ra một cơ sở hạ tầng sử dụng cho các hoạt động độc hại được lưu trữ trên máy chủ tất cả các bị xâm nhập;  đã có thể tìm thấy một liên kết giữa các thành phần phần mềm độc hại khác nhau như Linux/Cdorked, Perl/Calfbot và Win32/Glupteba.M và nhận ra tất cả chúng đều được điều hành bởi cùng một nhóm.Cơ sở hạ tầng bị xâm nhập đã được sử dụng để ăn cắp thông tin SSH, chiếm quyền điều khiển người sử dụng Internet vào các trang web độc hại và gửi thư rác.
Những kẻ tấn công ẩn sau Windigo đã không khai thác các lỗ hổng zero-day để chống lại các hệ thống Linux hoặc Unix, nhưng chúng đã khai thác các điểm yếu hệ thống để xây dựng và duy trì hệ thống botnet.  Các tin tặc đã xâm nhập vào hàng loạt các hệ điều hành thông dụng như Apple OS X, FreeBSD,  OpenBSD, Microsoft Windows (thông qua Cygwin) và Linux, bao gồm cả Linux  trên kiến trúc ARM. Mô-đun độc hại được sử dụng trong hoạt động Windigo được thiết kế “cơ động”, dễ tích hợp, chúng đã xuất hiện trên cả hệ điều máy chủ Linux và FreeBSD. Các chuyên gia đánh giá mã độc Windigo là ở mức độ nghiêm trọng cao, những kẻ tấn công đã thể hiện kiến thức hiểu biết sâu sắc về các cả nền tảng Linux và cổng hậu HTTP.