Spezialisten des Security-Anbieters Eset haben zusammen mit CERT-Bund, der Europäischen Organisation für Nukleare Forschung (CERN) und anderen nationalen Organisationen eine groß angelegte Aktion von Cyberkriminellen aufgedeckt. Danach haben diese offenbar heimlich die Kontrolle von zehntausenden Web-Server übernommen, die auf Linux und Unix betrieben werden.
Von dem Hackerangriff, der von Eset mit dem Namen “Windigo” getauft wurde, können bis zu 25 000 Linux/Unix-Systeme betroffen sein, die bis zu 35 Millionen Spam-Mails pro Tag verschicken können. Die infizierten Systeme müssen mit einer Neuinstallation des Betriebssystems neu aufgesetzt werden, alle Passwörter und private OpenSSH-Schlüssel sollten ausgetauscht werden.
Die Hacker haben die gekaperten Web-Server offenbar auch dazu genutzt, um Windows-Computer mit Malware zu infizieren und Werbung für Dating-Webseiten auf Apple-Computern anzuzeigen. Auch Apple iPhones wurden offenbar auf Sex-Seiten geleitet, damit die Hacker damit Geld verdienen konnten.
Eset hat eine ausführliche technische Analyse der “Operation Windigo” als PDF-Dokument veröffentlicht. Die Experten glauben, dass die kriminelle Kampagne bereits seit über zweieinhalb Jahren läuft und bisher unerkannt blieb. Die Antiviren-Fachleute gehen davon aus, dass täglich mehr als eine halbe Million Rechner in Gefahr sind, nach Besuch eines kompromittierten Servers mit Malware infiziert zu werden.
Widigo nutzt dafür offenbar ein ganzes Bündel von leistungsstarken Malware-Komponenten, wie Linux/Ebury, Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M und Win32/Boaxxe.G.
An nur einem Wochenende fand Eset nach eigener Auskunft mehr als 1,1, Millionen verschiedene IP-Adressen, die durch Windigos Infrastruktur liefen, bevor sie auf Server umgeleitet wurden, auf denen Exploit-Kits gehostet werden. Die Betriebssysteme der Rechner reichten dabei zurück bis Windows 95 und 98, erklärte ein Experte.
Webmaster können ihre Maschinen laut Eset auf eine Infektion durch Windigo prüfen, indem sie folgende Befehlszeile eingeben:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.