A szervereket sem kímélik a botnetek

A botnetek üzemeltetői eddig leginkább arra törekedtek, hogy kliens számítógépeket vonjanak be a kártékony hálózataikba. Mindezt nagy intenzitással tették, és teszik napjainkban is, aminek eredményeként milliószámra működnek olyan PC-k, amelyek valamilyen úton-módon a számítógépes bűnözés céljait szolgálják. Az Imperva cég azonban az elmúlt napokban arra hívta fel a figyelmet, hogy egy olyan támadássorozatot észlelt, amely nem a kliensszámítógépek ellen irányult, hanem webszerverek ellen. Minden jel arra utal, hogy az elkövetők egy kisebb botnetet igyekeztek kialakítani sérülékeny kiszolgálókból, majd az így létrejövő hálózatot elosztott szolgáltatásmegtagadási támadásokhoz próbálták felhasználni.

Az eddigi vizsgálatok szerint a támadók PHP-támogatással felvértezett, sérülékenységet tartalmazó webszervereket szemeltek ki maguknak. A céljuk az volt, hogy minimálisan annyi hozzáférést szerezzenek ezekhez a kiszolgálókhoz (akár webes alkalmazások biztonsági réseinek kihasználásával is) amennyi elegendő ahhoz, hogy egy PHP-kódot tartalmazó állományt tudjanak feltölteni. Amennyiben ez sikerült számukra, akkor egy mindössze 40 sorból álló fájlt juttattak fel a kiszolgálókra.

Amichai Shulman, az Imperva műszaki igazgatója elmondta, hogy az eddigi információik alapján kijelenthető, hogy körülbelül 400 webszerver esett áldozatul a támadásoknak. Az ezekre a rendszerekre felkerülő PHP-kód elosztott szolgáltatásmegtagadási támadásokra adhat lehetőséget. A szakember hangsúlyozta, hogy a támadók egy olyan alkalmazást is kifejlesztettek, amely tulajdonképpen egy kezelőfelületet biztosít a DoS-támadások kezdeményezéséhez. Ezen keresztül beállítható például a célba vett rendszer IP-címe, a DoS-hoz használt portszám és a támadás időtartama is.

Az Imperva azt nem kívánta elárulni, hogy a szerverekből kialakított botnet hálózat által pontosan mely szervezetek kerültek célkeresztbe, de annyit már biztosan lehet tudni, hogy az egyik holland internetszolgáltató áldozatul esett a támadásoknak.

Az Imperva amellett, hogy a konkrét támadássorozatról beszámolt azt is igyekezett nyilvánvalóvá tenni, hogy korántsem csak a mostani akció aggasztó, hanem az is, hogy a botnetek üzemeltetői a kiszolgálók felé kacsingatnak. Ennek leginkább az az oka, hogy ha egy szervert sikerül bevonniuk egy botnet tevékenységébe, akkor azzal több erőforrást, és ami még ennél is fontosabb, nagyobb sávszélességet biztosíthatnak maguk számára. Az eddigi kártékony hálózatok többek között azért a klienseket vették célba, mert azok sok esetben sebezhetőbbek, mint a kiszolgálók. Azonban, ahogy azt a példa is mutatja, ha a szerverek nincsenek megfelelő módon oltalmazva, akkor azok is könnyedén kerülhetnek az online bűnözés irányítása alá.