Spam und Exploits

Zehntausende Linux-Server mit Malware infiziert

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Sicherheitsforscher von Anbieter Eset berichten, dass Cyberkriminelle im Rahmen der "Operation Windigo" in den vergangenen drei Jahren rund 25.000 Linux- und Unix-Server großer Unternehmen und Organisationen zu einem riesigen Spam- und Exploit-Botnet zusammengeschlossen haben.

In ihrem gestern veröffentlichten Report "Operation Windigo" beleuchten die Eset-Experten die Hintergründe der Attacke. Demnach ist sie seit mindestens 2011 im Gange und traf bisher mehr als 25.000 Linux- und Unix-Server von Unternehmen wie Webhoster cPanel oder Organisationen wie der Linux Foundation kernel.org.

Für die Unterwanderung der Server nutzen die Angreifer eine Backdoor in OpenSSH namens "Linux/Ebury", die Fernsteuerungsfunktionen und den Abzug von Nutzerinformationen ermöglicht. Die HTTP-Backdoor "Linux/Cdorked" sorgt darüber hinaus dafür, dass Web-Traffic umgeleitet werden kann - über 700 Web-Server leiten ihre Besucher demnach derzeit auf schädliche Seiten um. Mit dem Perl-Skript "Perl/Calfbot" schließlich lässt sich automatisiert Spam über die gekaperten Server verschicken - im Durchschnitt geht es derzeit um rund 35 Millionen E-Mails am Tag.

Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Foto: ESET

Laut Eset-Report seien für alle Aktionen ausschließlich lange bekannte Schwachstellen ausgenutzt worden, die von den eigentlichen Server-Betreibern längst hätten behoben werden müssen. Von den Server-Bot-Attacken betroffen seien Clients fast aller Betriebssysteme: Apple OS X, OpenBSD, FreeBSD und Microsoft Windows mit Cygwin-Installation.