Botnet z 4 tysięcy serwerów linuksowych został zdezaktywowany

12 kwietnia 2016
Eksperci z firmy ESET we współpracy z ukraińską Policją i CyS Centrum, firmą specjalizującą się w audytach bezpieczeństwa IT, zdezaktywowali botnet Mumblehard. Serwery wchodzące w skład tego botnetu znajdowały się w 63 krajach, w tym w Polsce. Celem działania Mumblehard była wysyłka wiadomości spamowych. Botnet działał od 2009 roku, a w najaktywniejszym momencie swojej działalności łączył prawie 4 tysiące urządzeń. 
 
Botnet Mumblehard był zbudowany z serwerów z systemami operacyjnymi Linuks i BSD, które zainfekowane zostały zagrożeniem wykrywanym przez ESET jako Linux/Mumblehard. Cyberprzestępcy najpierw wyszukali we wspomnianych serwerach luki w zainstalowanym oprogramowaniu, a następnie za ich pomocą infekowali urządzenia i przejmowali nad nimi kontrolę. Przejęte serwery wykorzystywali głównie do wysyłania wiadomości spamowych. 
 
Wyniki śledztwa
 
Dzięki współpracy ekspertów z firmy ESET, ukraińskiej Policji i CyS Centrum, jesienią 2015 roku udało się uzyskać dostęp do serwera kontrolującego botnet (tzw. Command and Control Server) i zbadać jak działa sieć serwerów zombie. Okazało się, że botnet łączy prawie 4 tysiące urządzeń z 63 krajów świata. 
 
Ciekawą zdolnością botnetu była umiejętność automatycznego wypisywania się z listy podmiotów podejrzanych o wysyłanie spamu (Spamhaus Composite Blocking List). Automatyczny skrypt na bieżąco monitorował adresy IP wszystkich zainfekowanych serwerów i jeśli któryś z adresów został wpisany na listę, automatycznie wysyłał prośbę o wypisanie z niej. Takie prośby zabezpieczone są mechanizmem CAPTCHA, ale zainfekowana maszyna była w stanie poradzić sobie z tą przeszkodą – wykorzystywała techniki rozpoznawania tekstu, a także zewnętrzne usługi, aby złamać te zabezpieczania. 
 
Co dalej? 
 
Choć botnet został zdezaktywowany, to zainfekowane serwery nadal pracują. Jednostki CERT w poszczególnych krajach świata informują teraz firmy, których serwery zostały przyłączone do wspomnianego botnetu. Dzięki temu liczba zainfekowanych serwerów stale maleje. Jak zapobiec podobnym infekcjom serwerów firmowych? Eksperci radzą, aby aplikacje znajdujące się na serwerach były aktualizowane na bieżąco, a konta administratora posiadały silne hasła. Od czasu przejęcia botnetu, analitycy ESET nie zauważyli nowych wariantów zagrożenia ani jakichkolwiek działań podejmowanych przez grupę cyberprzestępców odpowiedzialnych za ten atak.

źródło: ESET

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone