ESET tyrėjai kartu su CyS-CERT ir Ukrainos kibernetine policija sustabdė „botneto“ tinklo „Mumblehard“ veiklą. Šis gana liūdnai pagarsėjęs „Linux“ serverių „botnetas“ kenkė tūkstančiui užkrėstų „Linux“ sistemų visame pasaulyje.
Prieš metus ESET analizuotas brukalų tinklas pagaliau buvo sustabdytas. Aptikus šį „botnetą“, saugumo ekspertai užregistravo domeną, veikiantį kaip kontrolės ir valdymo serverį galinių durų komponentams, kad būtų galima įvertinti „botneto“ dydį ir paplitimą. Dėl šios priežasties „Mumblehard“ kūrėjai buvo priversti sumažinti kontrolės serverius iki vieno, veikiančio Ukrainoje. „Detali analizė atskleidė, kad sustabdymo metu į „botneto“ tinklą buvo įtraukti beveik 4000 sistemų iš 63 skirtingų šalių. Mūsų tyrėjai taip pat nustatė papildomos informacijos apie tinklo veiklą“, – teigia ESET kenkėjiškų programų tyrėjas Marc-Etienne Leveille.
Nustačius šį „botnetą“ 2015 m. balandį, paaiškėjo, kad sistema leisdavo automatiškai išsibraukti iš „Spamhaus Blocking List“. Jei užkrėstų įrenginių IP adresus automatiškai stebintis kodas nustatydavo į juodąjį sąrašą įtrauktą adresą, šis reikalaudavo jį išbraukti iš sąrašo.
„Tokio tipo užklausos dažniausiai apsaugomos su CAPTCHA, kad būtų išvengta automatizavimo, bet „botneto“ operatoriai naudojo OCR ir kitas išorines paslaugas, kad pralaužtų apsaugą“, – aiškina M. E. Leveille.
Remiantis ESET surinktais duomenimis, dabar galima įspėti užkrėstų serverių administratorius. Vokietijos CERT-Bund jau prisijungė prie organizacijų informavimo.
„Jei sulaukėte pranešimo, kad jūsų įmonės ar organizacijos serveris yra užkrėstas, apsilankykite „Github“ puslapyje ir susipažinkite su užkratą bylojančiais indikatoriais, ten pat rasite daugiau informacijos, kaip surasti ir pašalinti „Mumblehard“ iš savo sistemos“, – pataria ESET atstovas.
Pasak ESET, „botneto“ „Mumblehard“ sustabdymas yra skirtingų saugumo organizacijų ekspertų ir viešojo sektoriaus bei teisėsaugos institucijų sėkmingo tarpvalstybinio bendradarbiavimo rezultatas. Norint išvengti panašių užkratų ateityje, ESET saugumo ekspertai pataria laiku atnaujinti serveryje talpinamas interneto programas bei jų įskiepius, taip pat rinktis dviejų faktorių autentifikavimą administratorių paskyroms.
