Хакери инсталират зловредни модули Apache на множество сървъри

0
58

Хакерска група е засечена наскоро да компрометира уебсървъри с фалшиви модули Apache и да интегрира бекдор програми в SSH услугите предоставяни от тях, като по този начин киберпрестъпниците успяват да откраднат оторизираща информация принадлежаща на потребителите и администраторите на въпросните уебсървъри.

Хакерите подменят всички бинарни файлове свързани с SSH, които се намират на компрометираните сървъри с версии съдържащи бекдор софтуер, които са програмирани да изпращат обратно към мошениците името на хоста, потребителското име и паролата за входящите и изходящи SSH връзки, които принадлежат към компрометираните сървъри. За това съобщават изследователи в областта на компютърната сигурност към компанията за интернет и информационна безопасност Sucuri в блога на уебсайта на компанията.

„Виждал съм и преди SSHD (SSH daemon) бекдор програми в незначителни размери или част от широко разпространени руткит програми, но никога не съм виждал нещо такова“, заявява главният технологически мениджър на компанията Дейвид Сид. Те не само, че модифицират SSH daemon-а, но и всеки бинарен файл, принадлежащ към SSH, като главната им цел е кражбата на пароли“, допълва Сид.

Това действие именно, позволява на хакерите да вземат контрол над компрометирания сървър отново в случай, че паролите биват променени или да компрометират странични сървъри, ако потребителите получат достъп до тях чрез свързване посредством SSH от компрометирания сървър.

Разработчиците от Sucuri са забелязали, че в много случаи, макар и администраторът да променя паролите, заразяването се появява отново след няколко дена.

Давид Синегубко, създател на скенера за сигурност на интернет страници Unkmask Parasites заяви, че е регистрирал вълна от атаки, при които атакуващата страна е получавала администраторски достъп до уеб сървърите и са инсталирали фалшиви модули Apache през август и септември миналата година. Целта на това действие е била „инжектирането“ на зловредни iframe-ове в безопасни сайтове хоствани на сървърите. Тези атаки са продължили и през следващите месеци, а наборът от инструменти за осъществяване на атаката се предполага, че е комплект наречен DarkLeech, който се продава в хакерските форуми.

Сид заявява също така че е трудно да се проследи произхода на атаката, тъй като логовете от сървърите са били вече изтрити, когато Sucuri се заемат с разследване на случая. Често обаче, инфектирането се осъществява на сървъри със слаби администраторски пароли или на такива където присъства стара версия на Plesk – контролният панел на уеб хостинга.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари