На серверах VestaCP нашли вредоносное ПО для DDoS-атак

На прошлой неделе команда разработчиков панели управления VestaCP признала , что неизвестным злоумышленникам удалось внести изменения в установочные скрипты и внедрить в код программы зловред для кражи паролей администратора и IP-адресов серверов. Перехватив контроль над платформой, киберпреступники устанавливали программы Linux/ChachaDDoS и использовали их для проведения DDoS-атак.

Первыми проблему заметили владельцы серверов, которые начали получать предупреждения от своих провайдеров об аномально высоком расходе трафика. Сообщения о взломах стали появляться на форуме с середины сентября. Однако команда разработчиков до последнего времени хранила молчание, проводя собственное расследование совместно с компанией Acturus Security. Выяснилось, что вредонос был добавлен в исходный код VestaCP через страницу проекта на GitHub 31 мая 2018 года, а уже 13 июня был удален. За две недели атакующие собрали пароли администратора для серверов, на которых была установлена панель. Чтобы не привлекать внимания злоумышленники отправляли собранную информацию не на сторонние ресурсы, а на подконтрольный им официальный домен проекта. На взломанных серверах преступники установили Linux/ChachaDDoS. По мнению эксперта компании ESET Марка-Этьена Левейе (Marc-Etienne M. Léveillé), программа представляет собой новый штамм вредоносов, основанных на трояне XOR и предназначенных для проведения DDoS-атак. В ChachaDDoS добавились некоторые другие функции, однако злоумышленники ими не пользовались. Пока что неизвестно, занимались ли преступники разработкой нового вредоноса самостоятельно или приобрели его. Сотрудники VestaCP выпустили новую сборку 0.9.8-23, в которую внесли несколько исправлений выявленных проблем безопасности. Они призвали всех пользователей сменить пароли для входа в учетную запись администратора и проверить свои серверы на наличие трояна dhcprenew, обычно копирующего себя в директорию /usr/bin/dhcprenew. Также разработчики создали специальный сайт, на котором каждый клиент может ввести свой IP-адрес и проверить, не установлена ли у него версия VestaCP с внедренным вредоносным кодом. Преступники не в первый раз используют легитимные программы для распространения зловредов. В сентябре 2017 года они заразили утилиту для оптимизации и очистки ОС Windows CCleaner. Внедренный в программу вредонос собирал сведения о системе и в зашифрованном виде отправлял на командный сервер. В ходе других кампаний для кражи личной информации и слежки за жертвами использовали добавленный в плеер для Mac OS X Elmedia и менеджер загрузок Folx троян Proton. За последний год неоднократно отмечались атаки с целью установки майнеров. В марте злоумышленники заразили 400 тыс. компьютеров через бэкдор в торрент-клиенте MediaGet , а в июне подменили вредоносной копией официальную версию платформы для добычи криптовалюты Syscoin .