Nowy backdoor zagraża serwerom WWW

Eksperci z firmy Eset podkreślają, że Linux/Cdorked.A jest zaawansowanym zagrożeniem, które bardzo skutecznie maskuje swoją aktywność na zainfekowanym serwerze. Jedynym śladem działania Linux/Cdorked.A na danej maszynie jest zmodyfikowany plik “httpd”. Wszystkie inne informacje, odnoszące się do backdoora, w tym te dotyczące konfiguracji i kontroli nad zagrożeniem, przechowywane są w pamięci podręcznej serwera – przez co bardzo trudno jest wykryć i przeanalizować jego sposób działania. Analitycy zagrożeń z firmy Eset ustalili, że Linux/Cdorked.A. otrzymuje instrukcje działania za pośrednictwem HTTP. W celu minimalizacji prawdopodobieństwa wykrycia zagrożenia komunikacja ta jest specjalnie maskowana, a przekazywane instrukcje nie są rejestrowane w dzienniku zdarzeń serwera Apache.
Do tego serwisu kieruje użytkowników urządzeń Apple zainfekowany serwer Apache
Do tego serwisu kieruje użytkowników urządzeń Apple zainfekowany serwer Apache
Do tego serwisu kieruje użytkowników urządzeń Apple zainfekowany serwer Apache

Do tego serwisu kieruje użytkowników urządzeń Apple zainfekowany serwer Apache

Jeśli internauta trafi na stronę, która jest serwowana przez zainfekowanego Apache’a, zagrożenie przekieruje go do serwisu zawierającego zestaw exploitów o nazwie Blackhole. Zestaw ten automatycznie zidentyfikuje i wykorzysta luki wykryte na komputerze użytkownika, instalując na nim kolejne zagrożenia. W ten sposób maszyna może zostać dołączona do sieci zombie, a przejęty komputer może zostać później wykorzystany m.in. do realizacji ataku DDoS (Distributed Denial of Service). W takich atakach maszyny zombie wysyłają ogromną liczbę zapytań do serwerów firm i instytucji, powodując ich zablokowanie. Jeśli na stronę obsługiwaną przez zainfekowaną wersję Apache’a trafi użytkownik iPhone’a lub iPada, zagrożenie przekieruje go do witryny zawierającej treści pornograficzne.

Linux/Cdorked.A stanowi zagrożenie dla przedsiębiorstw, jeśli bowiem infekcja dotknie firmową stronę internetową, a administrator szybko nie zidentyfikuje problemu może dojść do sytuacji, w której serwis WWW zniknie z sieci. Stanie się tak wtedy, gdy zainfekowana strona zostanie zablokowana przez firmę hostingową, wyszukiwarkę internetową lub przeglądarkę WWW. Blokada będzie miała na celu ochronę nieświadomych internautów przed złośliwymi programami, a także zapobieżenie rozprzestrzenianiu się zagrożenia.

O potencjalnej skali działania Linux/Cdorked.A wypowiedział się Stephen Cobb, ekspert ds. bezpieczeństwa IT firmy Eset. Zwrócił on uwagę na statystyki serwisu Netcraft, z których wynika, że w lutym 2013 roku aż 348 milionów stron WWW działało w oparciu o serwer Apache. To ponad 55% wszystkich dostępnych w sieci stron WWW! Znaczna część tych serwerów działa w oparciu o system Linux, a to właśnie linuksową wersję Apache’a bierze na cel Linux/Cdorked.A. Laboratorium antywirusowe firmy Eset zidentyfikowało infekcje m.in. na 50 stronach ze 100.000 najpopularniejszych witryn wg serwisu Alexa.com

Eksperci z firmy Eset radzą wszystkim administratorom, którzy opiekują się stronami WWW działającymi na linuksowych serwerach Apache, aby sprawdzili czy ich maszyny nie padły ofiarą Linux/Cdorked.A. W tym celu można posłużyć się bezpłatnym narzędziem, jakie przygotowali analitycy firmy Eset. Narzędzie dostępne jest na blogu firmy Eset: http://www.welivesecurity.com/uploads/2013/04/dump_cdorked_config.c