Principy fungování operace Windigo

Tento úvodní článek seriálu o operaci Windigo popisuje způsob jakým útok funguje. Upozorňuje na nebezpečnost jeho tvůrců, kteří na odhalení budou prakticky určitě reagovat. Většina informací zde uvedených vychází z dokumentu v anglickém jazyce na webu welivesecurity.com, Operation Windigo. Můžete se ale také těšit na mé vlastní závěry z publikovaných faktů. A to zejména v dalších dílech, které se budou zabývat technickými podrobnostmi. Seriál navazuje volně na můj článek Kontrolní skript na operaci Windigo 1.0.2 a Další vývoj operace Windigo.

Samotná operace Windigo je velice propracovaný a velice dobře navržený i provedený útok. Jeho rozsah, schopnost zůstat skrytý ve své komplexnosti po mnoho měsíců i roků, široká přenositelnost kódu, i profesionalita provedení je zcela bezprecedentní.

Klíčová zjištění o operaci Windigo

  • Operace Windigo probíhá minimálně od roku 2011
  • Více než 25.000 unikátních serverů bylo napadeno v posledních dvou letech. Aktuálně je stále činných asi 10.000 napadených serverů.
  • Bylo kompromitováno velké množství různých operačních systémů; Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (přes Cygwin) i Linux, včetně Linuxu na platformě ARM
  • Škodlivé moduly jsou navrženy jako přenositelné (portable). Modul odesílající spam byl schopen běhu na všech druzích serverů s Linuxem i FreeBSD. SSH backdoor byl zaznamenán na Linuxu i FreeBSD serverech.
  • Úspěšně byly napadeny i velice známé organizace, včetně společností cPanel a Linux Foundation.
  • Windigo způsobovalo odesílání průměrně 35 miliónů spamových zpráv denně
  • Více než 700 webových serverů napadených operací Windigo stále přesměrovává návštěvníky na škodlivý obsah
  • Více než půl miliónu návštěvníků denně navštíví webové stránky serverů kompromitovaných operací Windigo a jsou přesměrovány na stránku s pokoušející se jejich počítač napadnout
  • Úspěšnost napadení těchto počítačů je okolo 1 %
  • Útočná skupina dává přednost zastavení škodlivých aktivit před odhalením
  • Kvalita jednotlivých částí škodlivého kódu je špičková: ukrytí změn v operačním systému, přenositelnost i využití kryptografických metod ukazuje, že původci útoku Windigo mají hluboké znalosti o způsobu fungování operačních systémů typu Linux
  • Backdoor v HTTP je schopen napadnout Apache, Nginx i Lighttpd
  • Útočníci maximalizují využitelnost napadených serverů spouštěním různého malware a aktivit v závislosti na úrovni přístupu, kterou získali na napadeném serveru.
  • Pro napadení Linux serverů nebyly využívány známé zranitelnosti. Byly využívány pouze ukradené přístupové údaje.

Stručný popis modulů operace Windigo

  • Linux/Ebury běží většinou na Linux serverech. Poskytuje kořenový backdoor shell a je schopen krást přístupové údaje SSH.
  • Linux/Cdorked běží většinou na Linuxových webových serverech. Poskytuje backdoor shell a předává malware Windows konečným uživatelům pomocí řízeného stahování.
  • Linux/Onimiki běží na Linuxových DNS serverech a přesměrovává doménová jména na IP určité adresy, aniž by byla nutná změna konfigurace vlastního DNS serveru.
  • Perl/Calfbot běží na většině platforem podporujících Perl. Je to spam bot napsaný v Perlu.
  • Win32/Boaxxe.G je malware aktivovaný proklikem a Win32/Glubteta.M je generická proxy. Obojí běží na počítačích s operačními systémy Windows. Tyto dvě hrozby se šíří prostřednictvím řízených stahování.

Útočná skupina Windigo

Přesné informace o útočné skupině nejsou známy. Máme však určité indicie:

  • Samotný software obsahuje jen číselné označení svých variant, žádné „podpisy“.
  • Úroveň všech komponent útoku dosahuje profesionální úrovně.
  • Kód je vysoce přenositelný.

Toto vše, dle mého názoru, prakticky vylučuje, že by operace Windigo byla prací jednotlivce nebo malé skupiny. Operace Windigo je s vysokou pravděpodobností produktem tajné služby. Kterého státu, se můžeme jen dohadovat.

Způsob napadení Linux serveru modulem Linux/Ebury

Základem je, že server je infikován buď uhodnutím hesla správce root (v případě, že je možné přímé přihlášení heslem) nebo tím, že se někdo přihlásí z infikovaného systému na server.

Další postup po úspěšném napadení závisí na úrovni oprávnění, které na serveru získají.

Pokud standardní uživatelské, zjišťují, zda je nainstalován Perl. Pokud ano, instalují modul Perl/Calfbot. Server je poté používán pro rozesílání spamu. Pokud Perl instalován není, napadený server zůstává prozatím nevyužit.

Pokud získají superuživatelské oprávnění, instalují primárně modul Linux/Ebury. Ten je skryt v modifikaci  daemona sshd, a programů ssh a ssh-add. V novějších verzích Linux/Ebury modifikují knihovnu libkeyutils.

Dále je zjišťováno, jestli je nainstalován webový server. Pokud ano, je instalován modul Linux/Cdorked. Pokud není, server je buď ponechán v rezervě, nebo jsou instalovány sekundární moduly, které slouží jako součásti infrastruktury operace Windigo. (DNS server pro potřeby spamování, Linux/Onimiki – napadený server Bind, sběrný server přístupových údajů Linux/Ebury, Linux/Ebury tunelovací server – slouží k anonymizaci přístupů k infrastruktuře Windigo, reverzní proxy server)

Webový server po infikaci začne fungovat jako proxy a přesměrovává požadavky na servery se škodlivým obsahem (obvykle přes Linux/Onimiki servery) s cílem rekvalifikovat Windows a Mac klienty na ovládané boty. Také spouští webové rozhraní, které útočníkům umožňuje skrytě ovládat server. DNS server pro potřeby spamování také přesměrovává na podivné domény s cílem dostat do klientů podvodný obsah.

Celý systém napadení je výborně skrytý. Minimálně u distribucí rodin distribucí RedHat a Debian modifikuje signatury. Tedy například pomocí příkazu

# rpm --verify co_kontrolovat

administrátoři nezjistí problém. Nicméně, příkaz

# rpm -qi balicek_ssh_serveru

vypíše informace o instalačním balíku, ze kterých je patrné, že podpisy byly z databáze odstraněny. To samotné je již velice závažnou indícií napadení. Na druhou stranu, je vysoce pravděpodobné (a velice povzbudivé), že pro útočníky je ochrana instalačních balíčků digitálními podpisy nepřekonatelná.

Ostatně, všechny detekce napadení operací Windigo vycházejí z nepřímých zjištění. jak jsem již napsal výše, maskování škodlivé činnosti je na té nejvyšší úrovni.

Pokračování příště. 🙂 Těším se na vaše komentáře.

Pokud chcete dostávat notifikace o nových článcích k operaci Windigo, registrujte se zde.