Od roku 2013 bezpečnostní experti ESET, CERT-Bund aj. zkoumali činnost OpenSSH backdooru Linux/Ebury. Přitom zjistili, že je součástí rozsáhlejšího malware ovládajícího rozvětvenou síť serverů. Celá operace je označována Windigo.
Objevili jsme útočnou infrastrukturu parazitující na napadených serverech zneužívanou ke kyber‑kriminalitě. Také jsme odhalili funkční propojení mezi různými kusy malware jako jsou Linux/Cdorked, Perl/Calfbot a Win32/Glupteba.M a došli k závěru, že jde o komponenty jednoho systému,
uvádí se ve zprávě.
Hlavními součástmi Operace Windigo jsou:
Z výsledků analýzy vyplývá, že v posledních dvou letech bylo backdoorem Linux/Ebury OpenSSH infikováno 25 000 serverů a přes 10 000 jich infikováno stále zůstává.
Kompromitované servery se denně snaží infikovat na 500 000 uživatelů a jsou schopny rozeslat 35 miliónů spamů. Napadené systémy zahrnují Linux, FreeBSD, OpenBSD, OS X a dokonce i Windows (prostřednictvím Perlu běžícího na pod Cygwin).
Bližší informace naleznete ve zprávě Operation Windigo (PDF), Malware Indicators of Compromise a českém výtahu z tiskové zprávy Operace Windigo od ESETu.
Zdroje: E Hacking News, The Hacker News, We Live Security