Вірусна лабораторія Eset виявила новий зразок шкідливої ​​програми Linux/Ebury – основного компонента ботнету Windigo. Дослідження підтвердило, що Ebury продовжує активно використовуватися атакуючими, і інфраструктура, призначена для крадіжки даних, все ще функціонує.

У березні 2014 року Eset спільно з експертною групою CERT-Bund та дослідницьким центром SNIC опублікувала звіт про «Операцію Windigo». Шкідлива кіберкампанія тривала щонайменше з 2011 року. Протягом кількох років оператори ботнету скомпрометували понад 25 000 Linux та UNIX-серверів, а також пристрої на базі Windows, OS X, OpenBSD, FreeBSD та Linux. Серед постраждалих такі організації, як cPanel та Linux Foundation.

Основний компонент «Операції Windigo» – OpenSSH-бекдор та інструмент крадіжки даних Linux/Ebury, встановлений на десятки тисяч серверів За його допомогою атакуючі завантажували до скомпрометованих систем додаткові програми для крадіжки облікових даних, перенаправлення трафіку на шкідливий контент, зараження користувачів та розсилки спаму.

У серпні 2015 року був заарештований Максим Сенах, один із підозрюваних в організації ботнету Windigo. У березні 2017 року він визнав провину у порушенні закону про комп'ютерне шахрайство та зловживання, у серпні – засуджений до 46 місяців тюремного ув'язнення.

Незабаром після арешту Сенаху система телеметрії Eset показала зниження активності одного з компонентів ботнету – шкідливої ​​програми Linux/Cdorked, призначеної для перенаправлення веб-трафіку. Як було встановлено згодом, Сенах отримував прибуток від цього виду шкідливої ​​діяльності Windigo. Активність Linux/Cdorked досі не відновлено.

Проте, ботнет Windigo продовжує роботу. Наприклад, в Eset спостерігали нові версії програми Win32/Glupteba, також пов'язаної з Windigo і відповідають у складі ботнета за розсилку спаму.

Нарешті, у лютому 2017 року фахівці Eset виявили новий зразок Ebury (версія 1.6), який отримав низку суттєвих доробок. Тепер Ebury використовує новий алгоритм генерації доменів (DGA) передачі вкрадених даних. Автори малварі передбачили методи самомаскування та нові способи впровадження у процеси, пов'язані з OpenSSH.

Крім того, оператори Windigo вивчають дослідження постачальників рішень для безпеки та допрацьовують шкідливі інструменти, щоб оминати індикатори зараження та уникати виявлення.