Независимый российский ИТ-специалист Денис Синегубко сообщил об обнаружении нетипичной интернет-атаки, ему удалось обнаружить кластер, состоящий исключительно из Linux-серверов, зараженных ранее неизвестным вредоносным кодом. Полученная бот-сеть из Linux-серверов занимается распространением вредоносного программного обеспечения.
По его словам, каждая из инфицированных машин представляет собой выделенный или виртуальный выделенный сервер, на базе которого работает легитимный веб-сайт. Однако есть у данной бот-сети и еще одна особенность - инфицируются здесь только сайты, работающие на связки Apache - Nginx, являющейся довольно популярной в Рунете.
"Мы видим здесь давно ожидаемую бот-сеть, состоящую не из клиентских компьютеров, а только из серверов. Чтобы еще больше усложнить ситуацию эта серверная бот-сеть может взаимодействовать с классическими бот-сетями из домашних настольных ПК", - пишет Денис в своем блоге.
Поиск новых способов создания и работы с бот-сетями стал в последнее время крайне актуален для злоумышленников. Буквально на днях компания Symantec сообщила об обнаружении использования сервиса телеконференций Google Groups в качестве командного сервера для управления троянцами, раньше появились данные об использовании аналогичным способом сервис микро-блогов Twitter.
В случае с данным способом, все инфицированные машины обслуживали 80-й порт, используемый для работы веб-сайтов, однако на заднем фоне сервер отправлял вредоносный трафик через порт 8080. Содержимое здесь доставлялось при помощи сторонних провайдеров, предлагавших бесплатную поддержку DNS-сервиса. В итоге при обращении к зараженному серверу в добавок к легитимному контенту сервер через Iframe доставлял заданный хакерами контент.
"С точки зрения злоумышленников всегда надежнее иметь как серверные, так и клиентские бот-сети, такие гетерогенные системы гораздо более гибкие", - заключает Синегубко.
На данный момент непонятно, сколько именно серверов пали жертвой подобной атаки. По предположению исследователя, сама подобная атака стала возможной из-за невнимательности администраторов этих серверов, так как они либо установили слишком простой root-пароль на сервер, либо ненароком "поделились" этим паролем с хакерами. Есть также вариант и с использованием снифферов.
Синегубко говорит, что пока ему удалось обнаружить кластер из сотни серверов, что в масштабах бот-сетей немного, поэтому специалист предполагает, что подобная атака сейчас является в большей степени концептуальной. Что же касается динамических хостинг DNS-провайдеров, то злоумышленники используют компании DynDNS.com и NO-IP.com.
Источник: CyberSecurity
|