Botnet z 4 tysięcy serwerów linuksowych został zdezaktywowany

12 kwietnia, 2016
Eksperci z firmy ESET we współpracy z ukraińską Policją i CyS Centrum, firmą specjalizującą się w audytach bezpieczeństwa IT, zdezaktywowali botnet Mumblehard. Serwery wchodzące w skład tego botnetu znajdowały się w 63 krajach, w tym w Polsce. Celem działania Mumblehard była wysyłka wiadomości spamowych. Botnet działał od 2009 roku, a w najaktywniejszym momencie swojej działalności łączył prawie 4 tysiące urządzeń. 
 
Botnet Mumblehard był zbudowany z serwerów z systemami operacyjnymi Linuks i BSD, które zainfekowane zostały zagrożeniem wykrywanym przez ESET jako Linux/Mumblehard. Cyberprzestępcy najpierw wyszukali we wspomnianych serwerach luki w zainstalowanym oprogramowaniu, a następnie za ich pomocą infekowali urządzenia i przejmowali nad nimi kontrolę. Przejęte serwery wykorzystywali głównie do wysyłania wiadomości spamowych. 
 
Wyniki śledztwa
 
Dzięki współpracy ekspertów z firmy ESET, ukraińskiej Policji i CyS Centrum, jesienią 2015 roku udało się uzyskać dostęp do serwera kontrolującego botnet (tzw. Command and Control Server) i zbadać jak działa sieć serwerów zombie. Okazało się, że botnet łączy prawie 4 tysiące urządzeń z 63 krajów świata. 
 
Ciekawą zdolnością botnetu była umiejętność automatycznego wypisywania się z listy podmiotów podejrzanych o wysyłanie spamu (Spamhaus Composite Blocking List). Automatyczny skrypt na bieżąco monitorował adresy IP wszystkich zainfekowanych serwerów i jeśli któryś z adresów został wpisany na listę, automatycznie wysyłał prośbę o wypisanie z niej. Takie prośby zabezpieczone są mechanizmem CAPTCHA, ale zainfekowana maszyna była w stanie poradzić sobie z tą przeszkodą – wykorzystywała techniki rozpoznawania tekstu, a także zewnętrzne usługi, aby złamać te zabezpieczania. 
 
Co dalej? 
 
Choć botnet został zdezaktywowany, to zainfekowane serwery nadal pracują. Jednostki CERT w poszczególnych krajach świata informują teraz firmy, których serwery zostały przyłączone do wspomnianego botnetu. Dzięki temu liczba zainfekowanych serwerów stale maleje. Jak zapobiec podobnym infekcjom serwerów firmowych? Eksperci radzą, aby aplikacje znajdujące się na serwerach były aktualizowane na bieżąco, a konta administratora posiadały silne hasła. Od czasu przejęcia botnetu, analitycy ESET nie zauważyli nowych wariantów zagrożenia ani jakichkolwiek działań podejmowanych przez grupę cyberprzestępców odpowiedzialnych za ten atak.

źródło: ESET

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]