Linux-botnet stuurt iPhone-gebruikers naar pornosites

Door: | 19 maart 2014 11:03

Algemeen

Een botnet van tienduizend hoofdzakelijk Linux-servers stuurt Windows-gebruikers door naar malwaresites, stuurt iPhone-gebruikers door naar pornosites en spamt iedereen als een bezetene.

De criminelen achter het botnet stelen volgens het antivirusbedrijf ESET persoonsgegevens, sturen gebruikers door naar malware-, porno- en goksites, en sturen zeer grote hoeveelheden spamberichten. ESET, de makers van het antiviruspakket NOD32, maakte dit vandaag bekend na een onderzoek in samenwerking met andere beveiligingsbureaus.

Backdoors

Volgens het onderzoek (pdf) zijn Linux-servers het meest besmet, maar ook andere besturingssystemen zijn onderdeel van het botnet. Sinds 2011 heeft het botnet 25.000 servers besmet, waarvan er momenteel 10.000 nog steeds operationeel zijn.

De servers zijn volgens het onderzoek allemaal besmet met de OpenSSH-backdoor Linux/Ebury. Om servers in het botnet hiermee te infecteren maken de hackers geen gebruik van zwakheden in Linux-servers, maar van fout geconfigureerde servers of gestolen wachtwoorden, aldus ESET. Eenmaal besmet houden ze met hulp van de OpenSSH-backdoor controle over de server.

Een andere backdoor die volgens de onderzoekers wordt gebruikt is Linux/Cdorked, een http-backdoor compatibel met Apache httpd, Nginx en lighthttp. Deze zorgt voor het omleiden van internetverkeer. Het perlscript Perl/Calfbot verzorgt de spamverzending.

35 miljoen spam per dag

Het botnet stuurt, momenteel met hulp van 700 webservers, dagelijks een half miljoen internetgebruikers door naar dubieuze en besmette websites. Daarnaast stuurt het op dit moment 35 miljoen spamberichten per dag, zegt het onderzoek.

ESET heeft aan het botnet en de hele organisatie er omheen de naam Operatie Windigo gegeven, een kannibalistische demon uit Indiaanse legendes.