Další vývoj operace Windigo

Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.

Nebezpečí operace Windigo stále trvá

Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.

Chcete důkazy?

Reakce skupiny odpovědné za operaci Windigo na publikované informace

Na konci dubna 2013 skupina Sucuri a společnost ESET zveřejnili analýzu tehdejší verze Linux/Cdorked. Zároveň zveřejnili program v C, který detekoval kód Linux/Cdorked v paměti serveru a také vypsal jeho konfiguraci, která byla přítomná pouze v operační paměti. Na disku nebyla zapsána. V červnu vypustili útočníci novou verzi Linux/Cdorked, kterou nebylo možné pomocí tohoto postupu detekovat.

Za další případ můžeme označit informace, které zveřejnila na konci února 2013 společnost cPanel po napadení jejích serverů. Jejich součástí jsou i projevy napadení modulem Linux/Ebury, detekované pomocí sledování síťové komunikace, s použitím programu TCPdump. Tentýž měsíc také zveřejnila skupina CERT-Bund informace o Linux/Ebury a upozornila nejen národní týmy CERT, ale také poskytovatele napadených hostingů.

V dubnu reagovali útočníci novou verzí Linux/Ebury, provedli její aktualizaci na většině napadených serverů na verzi 1.3.2. Tato verze nejen lépe skrývá servery, které sbírají přístupové informace napadených serverů, ale také zastavuje komunikaci, pokud zaznamená síťové zařízení v promiskuitním módu. (To je známkou spuštěné paketové analýzy.)

Z tohoto důvodu je v současnosti doporučována pro účely detekce tohoto napadení paketová analýza bez přepnutí síťového rozhraní do promiskuitního módu:

$ tcpdump -p

Stačí? Já osobně považuji za prokázané, že útočná skupina stojící za operací Windigo reaguje na publikovaná zjištění. A to v horizontu dvou měsíců.

Poprvé bylo veřejně a podrobně referováno o spojení Linux/Ebury a Linux/Cdorked 5. února 2014 vylepšenou verzi Kontrolního skriptu na operaci Windigo.

Pokud chcete o nových verzích kontrolního skriptu a mých článcích na toto téma dostávat informaci emailem, registrujte se k odběru novinek o operaci Windigo.

Těším se na vaše připomínky a na shledanou příště.