Jagd auf das Biest
Das Wort Windigo ruft bei denjenigen, die mit Mythologien vertraut sind, eine Idee eines fleischfressenden Monsters hervor. In der Cybersecurity-Welt bezieht sich „Operation Windigo“ auf eine Serverressourcen raubende Malware-Kampagne. Diese wurde im Jahr 2012 von ESET aufgedeckt. Der Name geht auf die Fähigkeit der Malware zurück, Server kollabieren und bei Opfern verheerenden Schaden anrichten zu lassen. Wir möchten heute auf Operation Windigo zurückblicken.
Erste Sichtung
Als erstes entdeckte die Linux Foundation Windigo im Jahr 2011. Damals war die Malware in der Lage etwa 25.000 Server im Zeitraum von 2012-2014 zu kompromittieren. Das technische Wissen der dahintersteckenden Gang lag auf einem sehr hohen Niveau.
Nach dem Erhalt des ersten Malware-Samples von der Sicherheitsfirma Sucuri im März 2013, startete ESET die Operation Windigo. Das Ziel war die Analysierung der Angriffsmethode(n) und des Ausmaßes sowie die Sichtung des entstandenen Schadens.
Alle Anstrengungen resultierten in einen 2014 erschienen, detaillierten Bericht über die Malware-Kampagne Windigo und deren Auswirkungen. Das umfassende Paper zielte darauf ab, das Bewusstsein durch eingehende Analyse zu schärfen und Einzelheiten über die Erkennung infizierter Hosts zu veröffentlichen.
Die Öffentlichkeit reagierte genau wie die Infosec-Community sehr positiv auf den Output von ESET. Selbst die Malware-Entwickler bemerkten die Studie und lobten ESET für deren Arbeit.
Ein kluger Feind
Das Team hinter Windigo bestand nicht aus Amateuren. Beispielsweise benutzte die Malware – welche Backdoors ausnutzte – modifizierte Versionen von OpenSSH, einer "Open Source Alternative zur proprietären Secure Shell Software (SSH)".
Die Gang war genauso in der Lage, Server zu infiltrieren, wie auch normale Benutzer von Administratoren zu unterscheiden. Die Auswahl von Opfern basierte auf deren Aktivität als Admin.
Darüber hinaus haben die Malware-Entwickler erhebliche Expertise in ihren Bemühungen gezeigt, sich einer Entdeckung zu entziehen. Ihre Taktik lag zum Beispiel darin, kompromittierte Server zu aktualisieren, um Entwickler vom Weg abzubringen. Oder darin, eine neue Version der DNS Backdoor Software im Juni 2013 zu erstellen, als Antwort auf eine einem Monat zuvor entwickelte Erkennungssoftware.
Entdeckung von Hinweisen
Wie oben bereits erwähnt, deckten die Untersuchen von ESET auf, dass Operation Windigo seit mindestens 2011 stattfand. Damals wurden mehr 25.000 Server zwischen 2012 und 2014 in Frankreich, Italien, Russland, Mexiko und Kanada kompromittiert.
Die befallenen Server wurden von den Angreifern dazu missbraucht, intensiven Mail-Spam zu betreiben, Login-Daten zu stehlen, Web-Traffic auf Werbenetzwerke umzuleiten und Computer von Internetusern per Drive-by-Download zu beeinträchtigen.
Ein Ermittlungsteam war auch in der Lage, eine Verbindung zwischen verschiedenen bösartigen Komponenten wie Linux/Cdorked, Perl/Calfbot und Win32/Glupteba.M zu identifizieren. Sie schlussfolgerten, dass alle von der gleichen Gruppe bedient wurden.
Klein, aber oho
Im Vergleich mit anderen Malware-Kampagnen scheint Windigo recht „klein“ zu sein, denkt man an die betroffenen zehntausend Server, wie ESET im Jahr 2014 berichtete.
Die Tatsächliche Reichweite ist aber durchaus größer, da Server mehrere Ressourcen wie Bandbreite, Speicher- und Rechenleistung zur Verfügung stellen, als beispielsweise ein normaler PC.
Laut ESET war die Gruppe durch ihre Infrastruktur in der Lage, tatsächlich mehr als 35 Millionen Spam-Mails jeden Tag zu verschicken.
Darüber hinaus war – und ist – die Malware dazu fähig, viele verschiedene Betriebssysteme zu beeinträchtigen. Dazu gehören Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (durch Cygwin) und Linux. Die Windigo-Malware konnte große Organisationen wie cPanel und die Linux Foundation angreifen.
Tarn-Methoden
Die Windigo-Entwickler schafften es auch deshalb unentdeckt zu bleiben, weil sie ihre Aktivitäten immer dann einstellten, wenn sie das Risiko sahen, entdeckt zu werden.
ESET erkannte, dass die Windigo-Truppe ihren Fokus mehr auf kleinere Webseiten legte, anstatt auf Mainstream-Server. Dazu zählten insbesondere Porn-Webseiten, die aufgrund ihrer weiten Reichweite und niedrigeren Sicherheitseinstellungen optimal geeignet waren.
Auf diese Weise war die Gruppe in der Lage, mit ihrer Malware erheblichen Schaden anzurichten, gleichzeitig den Sicherheitsexperten aber immer einen Schritt voraus zu sein.
Gebündelte Kräfte
Um die Methoden der Angreifer besser nachzuvollziehen und bekämpfen zu können, schloss ESET sich mit verschiedenen internationalen Organisationen zusammen. Dabei waren das Computer-Notfallteam des BSI CERT-Bund, das Swedish National Infrastructure for Computing und die Europäische Organisation für Kernforschung (CERN). Durch diese Zusammenarbeit konnten Betroffene gezielt informiert werden. Außerdem half die Arbeitsgemeinschaft bei der Schadensbeseitigung.
Windigo lebt weiter
Wie bei vielen Malware-Bedrohungen ist die Identifizierung noch lange nicht des Problems Lösung. Auch Windigo entwickelt sich weiter und so sind die Server-Administratoren aufgerufen, mögliche Kompromittierungen so gut es geht zu vermeiden.
ESET verfolgt seit dem Erscheinen ihres Berichts in 2014 indes die Entwicklung und den Kampf gegen die Linux/Ebury - Malware.