Три года назад ESET опубликовала отчет об операции Windigo – вредоносной кампании, результатом которой стала компрометация десятков тысяч Linux и UNIX серверов. На этой неделе один из подозреваемых в кибератаках, Максим Сенах из Великого Новгорода, в американском суде признал свою вину в нарушении закона о компьютерном мошенничестве и злоупотреблении (CFAA).
Кибергруппа Windigo инфицировала вредоносной программой Linux/Ebury больше 25 000 Linux-серверов по всему миру. Скомпрометированная инфраструктура позволяла генерировать свыше 35 млн спам-сообщений в сутки, что принесло операторам ботнета миллионы долларов.
Специалисты ESET принимали участие в расследовании, инициированном ФБР. Они выявили партнерские сети ботнета, выполнили анализ данных с серверов, с которых осуществлялись атаки, для идентификации жертв и подготовили подробный технический отчет.
13 января 2015 года Максиму Сенаху были заочно предъявлены обвинения, затем последовал арест в Финляндии и экстрадиция в США. В настоящее время Сенах признал свою вину в распространении вредоносной программы Linux/Ebury.
По мнению следствия, Сенах и его сообщники собирали аутентификационные данные с серверов, зараженных Linux/Ebury. Они создали ботнет из десятков тысяч скомпрометированных серверов, чтобы генерировать и перенаправлять веб-трафик в различных мошеннических схемах, связанных с клик-фродом и спамом. Максим Сенах лично участвовал в преступной деятельности, занимался поддержкой инфраструктуры ботнета и получал выгоду от генерируемого трафика.
Помимо ESET, в расследовании участвовало несколько организаций, включая Главное управление ФБР в Миннеаполисе, Отдел компьютерных преступлений и интеллектуальной собственности Министерства юстиции США, Правительство Финляндии, Федеральное ведомство уголовной полиции Германии, CERT-Bund и др.
В последние годы ESET отмечает рост объема и сложности АРТ-атак, нацеленных на критическую инфраструктуру. В 2016 году атаки с применением BlackEnergy иллюстрировали тенденцию к созданию вредоносного ПО, предназначенного для киберсаботажа.
Вредоносные программы, нацеленные на Linux-серверы, сравнительно сложно обнаружить. Linux/Ebury нередко упускали из вида, поскольку программа не нарушает работу сервера. Для профилактики заражений рекомендуем использовать надежное решение для безопасности сервера.
Автор: ESET NOD32