Linuxos gépekből – főleg szerverekből – épített botnetet a Mumblehard nevű kártevő, amely a fertőzött rendszereket spamek küldésére is felhasználta. Az ilyen esetek ugyan nem mondhatók gyakorinak – legalábbis a windowsos fertőzésekhez képest –, de mint a példa is mutatja, a Linux sem sebezhetetlen. A botnetet az ESET kutatói fedezték fel – írta a Biztonságportál.

A biztonsági cég kutatói nem először futnak bele linuxos rendszerek elleni kiterjedt támadásokba. Tavaly márciusban szintén ők fedezték fel az Operation Windigo nevű támadást, amelynek több tízezer linuxos és unixos szerver esett áldozatul.

A Mumblehard két fontosabb összetevőből épül fel. Az egyik egy hátsó kapu létrehozásáért felel, míg a másik spamelésben jeleskedik. Amikor rákérül egy rendszerre, akkor rögtön kapcsolódik különböző vezérlőszerverekhez, és kétirányú kommunikációs csatornát épít fel, hogy szabályozható legyen a működése.

A Mumblehard, amely Perlben íródott, de assemblyben íródott komponensei is vannak, az átlagosnál kifinomultabb technikákat alkalmaz. Ennek köszönhető például az is, hogy az ESET kutatói szerint legalább öt éven át működött észrevétlenül.

A felépült botnet aktivitását, illetve kiterjedését megbecsülni is nehéz – írták a kutatók. Eddig több mint 8500 egyedi IP-címet azonosítottak, amelyek mögött fertőzött szervereket találtak. A kiberbűnözőknek ezeken keresztül a reputációs, hírnévalapú védelmi technikák kijátszásával tudtak spameket terjeszteni. A botnet egyébként gyorsan nőtt, a kutatók szerint hat hónap alatt duplázta meg a méretét.

A Mumblehard felderítéséhez a Linux-alapú gépeken minden felhasználó esetében meg kell vizsgálni az ütemezett (cron) feladatok listáját. Ide azért kerül be a károkozó bejegyzése, mert az 15 percenként aktiválja a hátsó kaput. A károkozóhoz tartozó fájlok általában a /tmp vagy a /var/tmp könyvtárakba kerülnek be. Ezért ezeket a mappákat mindenképpen át kell vizsgálni, és szükség esetén kiüríteni vagy a noexec opcióval csatolni.

Így épül fel Mumblehard botnet