Spam und Exploits

Zehntausende Linux-Server mit Malware infiziert

19.03.2014
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Sicherheitsforscher von Anbieter Eset berichten, dass Cyberkriminelle im Rahmen der "Operation Windigo" in den vergangenen drei Jahren rund 25.000 Linux- und Unix-Server großer Unternehmen und Organisationen zu einem riesigen Spam- und Exploit-Botnet zusammengeschlossen haben.

In ihrem gestern veröffentlichten Report "Operation Windigo" beleuchten die Eset-Experten die Hintergründe der Attacke. Demnach ist sie seit mindestens 2011 im Gange und traf bisher mehr als 25.000 Linux- und Unix-Server von Unternehmen wie Webhoster cPanel oder Organisationen wie der Linux Foundation kernel.org.

Für die Unterwanderung der Server nutzen die Angreifer eine Backdoor in OpenSSH namens "Linux/Ebury", die Fernsteuerungsfunktionen und den Abzug von Nutzerinformationen ermöglicht. Die HTTP-Backdoor "Linux/Cdorked" sorgt darüber hinaus dafür, dass Web-Traffic umgeleitet werden kann - über 700 Web-Server leiten ihre Besucher demnach derzeit auf schädliche Seiten um. Mit dem Perl-Skript "Perl/Calfbot" schließlich lässt sich automatisiert Spam über die gekaperten Server verschicken - im Durchschnitt geht es derzeit um rund 35 Millionen E-Mails am Tag.

Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Über Backdoors und ausgeklügelte Skripte bemächtigen sich die Angreifer der Server und verschicken Spam, leiten Web-Traffic um oder stehlen Nutzerdaten.
Foto: ESET

Laut Eset-Report seien für alle Aktionen ausschließlich lange bekannte Schwachstellen ausgenutzt worden, die von den eigentlichen Server-Betreibern längst hätten behoben werden müssen. Von den Server-Bot-Attacken betroffen seien Clients fast aller Betriebssysteme: Apple OS X, OpenBSD, FreeBSD und Microsoft Windows mit Cygwin-Installation.