Spam und Exploits

Zehntausende Linux-Server mit Malware infiziert

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Sicherheitsforscher von Anbieter Eset berichten, dass Cyberkriminelle im Rahmen der "Operation Windigo" in den vergangenen drei Jahren rund 25.000 Linux- und Unix-Server großer Unternehmen und Organisationen zu einem riesigen Spam- und Exploit-Botnet zusammengeschlossen haben.

In ihrem gestern veröffentlichten Report "Operation Windigo" beleuchten die Eset-Experten die Hintergründe der Attacke. Demnach ist sie seit mindestens 2011 im Gange und traf bisher mehr als 25.000 Linux- und Unix-Server von Unternehmen wie Webhoster cPanel oder Organisationen wie der Linux Foundation kernel.org.

Für die Unterwanderung der Server nutzen die Angreifer eine Backdoor in OpenSSH namens "Linux/Ebury", die Fernsteuerungsfunktionen und den Abzug von Nutzerinformationen ermöglicht. Die HTTP-Backdoor "Linux/Cdorked" sorgt darüber hinaus dafür, dass Web-Traffic umgeleitet werden kann - über 700 Web-Server leiten ihre Besucher demnach derzeit auf schädliche Seiten um. Mit dem Perl-Skript "Perl/Calfbot" schließlich lässt sich automatisiert Spam über die gekaperten Server verschicken - im Durchschnitt geht es derzeit um rund 35 Millionen E-Mails am Tag.

Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Foto: ESET

Laut Eset-Report seien für alle Aktionen ausschließlich lange bekannte Schwachstellen ausgenutzt worden, die von den eigentlichen Server-Betreibern längst hätten behoben werden müssen. Von den Server-Bot-Attacken betroffen seien Clients fast aller Betriebssysteme: Apple OS X, OpenBSD, FreeBSD und Microsoft Windows mit Cygwin-Installation.