Linux és BSD webszerverekre veszélyes a Mumblehard
A Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadja. A kártevő elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel. Marc-Etienne M. Léveillé, az ESET vezető biztonsági kutatója szerint képesek azonosítani a megfertőzött gépeket és figyelmeztetni a tulajdonosokat. A 7 hónapos vizsgálati periódus alatt több mint 8500 egyedi IP címet azonosítottak. Most, hogy a fenyegetés technikai paraméterei nyilvánosak, az áldozatok könnyebben megérthetik mivel állnak szemben, és megtisztíthatják szervereiket.
Az ESET kutatói szerint a kártevő két fő összetevőből épül fel. Az első komponens a Joomla és a Wordpress sérülékenységeit kihasználó általános backdoor (hátsóajtó) program, amely parancsokat fogad az irányító szervertől (Command and Control server). A második összetevő teljes funkcionalitású spammer daemon (olyan rendszerszintű háttérfolyamatok és szolgáltatások, amik folyamatosan futnak, és valamilyen feladat elvégzéséért felelősek), amelyet a hátsóajtón keresztül kapott utasítás indít el. Megfigyelhető, hogy a Mumblehard kártevő a Linux és BSD rendszereket futtató feltört DirectMailer nevű programon keresztül is terjed, amely jogtiszta változatát 240 dollárért lehet beszerezni a Yellowsoft oldalán. „Nyomozásaink során erős kapcsolatot találtunk a Yellsoft nevű szoftvercéggel. Néhány egyéb nyom mellett azt találtuk, hogy a kártevőben kódolt IP címek szorosan kötődnek a Yellsoft címeihez” – tette hozzá Léveillé.
Összefoglalva a Linux/Mumblehard fő célja az volt, hogy legitim IP címek mögül hosszú időn keresztül tömeges méretekben spam üzeneteket küldjön ki. A fertőzött gépek száma a kutatók által vizsgált hat hónap alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve működő trójai kapcsolatban állhat a YellSoft nevű tömeges levélküldést végző (úgynevezett DirectMailer) céggel. Maga a kártevő egy Perl nyelven írt script volt, amit elkódolva és futtatható formátumra (ez a Unix rendszereken ELF) lefordítva terjesztettek.
Fontos tanulsága az esetnek, hogy kártevő szempontból időnként az alternatív operációs rendszerek is veszélyben lehetnek, ezért ezeken is fontos a megfelelő konfigurálás, a tűzfal események nyomon követése, és a rendszeres biztonsági ellenőrzések elvégzése. Az incidens emellett arra is ráirányította a figyelmet, hogy, a szerver kiszolgálók biztonságát sem szabad elhanyagolni, illetve fontos a megbízható biztonsági megoldások, mint például az ESET Server Security rendszeres futtatása.
Az ESET kutatóinak teljes részletességű leírása (white paper) itt olvasható.
Kapcsolódó cikkek
- ESET Endpoint Security szoftver, Android alapú eszközökre
- Lopásgátlóval felszerelt ESET NOD32 Antivirus 6 és ESET Smart Security 6
- ESET: Böngészőn keresztül támadnak a vírusok!
- Reklámtúltengést okozó kéretlen program a legelterjedtebb károkozó a neten
- ESET: a mobileszközeinket is védeni kell a támadásoktól
- Vészbook: az online fenyegetettség melegágya
- Év eleji rohamot indított a váltságdíjszedő kártevő új változata
- Európa a bitcoint követelő zsarolóprogram árnyékában
- A HTML trójaiak riogattak minket októberben - ESET vírustoplista
- Túszul ejtett Apple felhasználók
Biztonság ROVAT TOVÁBBI HÍREI
Ki vigyáz az adataidra, ha te nem? – a magyarok 90 százalékánál már próbálkoztak online csalók, adathalászok
Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük? Az ESET biztonsági szoftverek hazai forgalmazója, a Sicontact Kft. 2024 októberében ezeket a kérdéseket tette fel generációs attitűdkutatása során. Jó hír, hogy az online veszélyek ismertsége egyre magasabb és egyre többen védekeznek a tudatosság mellett védelmi szoftverekkel is – de még bőven van tennivalónk.