Die Entdeckung der Malware
Wie welivesecurity.com dazu auflistete, entdeckte als erstes die Linux Foundation Windigo im Jahr 2011. Damals war die Malware in der Lage etwa 25.000 Server im Zeitraum von 2012-2014 zu kompromittieren. Das technische Wissen der dahintersteckenden Gang lag auf einem sehr hohen Niveau. Nach dem Erhalt des ersten Malware-Samples von der Sicherheitsfirma Sucuri im März 2013, startete ESET die Operation Windigo. Das Ziel war die Analysierung der Angriffsmethode(n) und des Ausmaßes sowie die Sichtung des entstandenen Schadens.
Alle Anstrengungen resultierten in einen 2014 erschienen, detaillierten Bericht über die Malware-Kampagne Windigo und deren Auswirkungen. Das umfassende Paper zielte darauf ab, das Bewusstsein durch eingehende Analyse zu schärfen und Einzelheiten über die Erkennung infizierter Hosts zu veröffentlichen.
Professionelle Autoren
Hinter der Malware Windigo ware professionelle Autoren aktiv, wie ESET feststellte. Beispielsweise benutzte die Malware – welche Backdoors ausnutzte – modifizierte Versionen von OpenSSH, einer „Open Source Alternative zur proprietären Secure Shell Software (SSH)“. Die Gang war genauso in der Lage, Server zu infiltrieren, wie auch normale Benutzer von Administratoren zu unterscheiden. Die Auswahl von Opfern basierte auf deren Aktivität als Admin.
Darüber hinaus haben die Malware-Entwickler erhebliche Expertise in ihren Bemühungen gezeigt, sich einer Entdeckung zu entziehen. Ihre Taktik lag zum Beispiel darin, kompromittierte Server zu aktualisieren, um Entwickler vom Weg abzubringen. Oder darin, eine neue Version der DNS Backdoor Software im Juni 2013 zu erstellen, als Antwort auf eine einem Monat zuvor entwickelte Erkennungssoftware.
Gezielte Attacken
Wie ESET festgestellt hatte, gab es die Attacken seit dem Jahr 2011. Damals wurden mehr 25.000 Server zwischen 2012 und 2014 in Frankreich, Italien, Russland, Mexiko und Kanada kompromittiert. Die befallenen Server wurden von den Angreifern dazu missbraucht, intensiven Mail-Spam zu betreiben, Login-Daten zu stehlen, Web-Traffic auf Werbenetzwerke umzuleiten und Computer von Internetusern per Drive-by-Download zu beeinträchtigen.
Ein Ermittlungsteam war auch in der Lage, eine Verbindung zwischen verschiedenen bösartigen Komponenten wie Linux/Cdorked, Perl/Calfbot und Win32/Glupteba.M zu identifizieren. Sie schlussfolgerten, dass alle von der gleichen Gruppe bedient wurden.
Zahlreiche Betriebssysteme im Focus
Obwohl die Malware-Kampagne Windigo unter heutigen Gesichtspunkten „klein“ zu sein scheint, konnten die ESET-Analysten eine hohe Reichweite bescheinigen. Danach war die Gruppe durch ihre Infrastruktur in der Lage, tatsächlich mehr als 35 Millionen Spam-Mails jeden Tag zu verschicken.
Darüber hinaus war – und ist – die Malware dazu fähig, viele verschiedene Betriebssysteme zu beeinträchtigen. Dazu gehören Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (durch Cygwin) und Linux. Die Windigo-Malware konnte große Organisationen wie cPanel und die Linux Foundation angreifen.
Perfekte Tarnung
Die Windigo-Entwickler schafften es auch deshalb unentdeckt zu bleiben, weil sie ihre Aktivitäten immer dann einstellten, wenn sie das Risiko sahen, entdeckt zu werden. ESET erkannte, dass die Windigo-Truppe ihren Fokus mehr auf kleinere Webseiten legte, anstatt auf Mainstream-Server. Dazu zählten insbesondere Porn-Webseiten, die aufgrund ihrer weiten Reichweite und niedrigeren Sicherheitseinstellungen optimal geeignet waren.
Auf diese Weise war die Gruppe in der Lage, mit ihrer Malware erheblichen Schaden anzurichten, gleichzeitig den Sicherheitsexperten aber immer einen Schritt voraus zu sein.
Konzertierte Aktion gegen Windigo
Um die Methoden der Angreifer besser nachzuvollziehen und bekämpfen zu können, schloss ESET sich mit verschiedenen internationalen Organisationen zusammen. Dabei waren das Computer-Notfallteam des BSI CERT-Bund, das Swedish National Infrastructure for Computing und die Europäische Organisation für Kernforschung (CERN). Durch diese Zusammenarbeit konnten Betroffene gezielt informiert werden. Außerdem half die Arbeitsgemeinschaft bei der Schadensbeseitigung.
