Under tre års tid har gigantiska mängder servrar, till stor del Linuxmaskiner, angripits och tagits över i en samordnad attack. Flera sorters skadlig kod har använts. Med hjälp av de tiotusentals hackade servrarna har angriparna kunnat skicka stora mängder spam, skicka trafik till webbplatser och plantera skadlig kod i besökarnas datorer, så kallad driveby downloads.

Det framgår i en kommande rapport från säkerhetsföretaget Eset som Säkerhet24 har tagit del av. Hackaroperationen har fått kodnamnet Windigo och tros ha pågått sedan 2011. Bara de senaste två åren har 25 000 servrar fått lösenord läckta och skadlig kod planterad. Många av dessa är webbservrar.

– En del av de drabbade har märkt att deras maskiner används för att skicka spam. Men väldigt många har inte märkt något alls. De har haft svårt att tro på uppgifterna när de har fått notifieringar om att de är utsatta, säger Leif Nixon, säkerhetsexpert vid Nationellt Superdatorcentrum vid Linköpings universitet som har samarbetat med Eset i kartläggningen.

Ett fåtal drabbade identifieras: Kernel.org, webbplatsen för Linuxkärnan, som hackades redan 2011. Tidigare i år angreps Cpanel, ett av de mest populära administrationsgränssnitten för webbhotell. Genom att plantera skadlig kod hos Cpanels supportfunktion lyckades angriparna komma över stora mängder lösenord till Cpanel-kunder.

Enligt Leif Nixon finns ett hundratal svenska företag och organisationer på listan. Bland dem ett stort, svenskt e-handelsföretag som i fredags fick veta att en av deras centrala servrar har infekterats av en trojan.

– De har haft sina backend-system rootade i flera månader. Den som har den makten får tillgång till allting, säger Leif Nixon.

Att ett system är rootat betyder att angriparen har kommit över ett lösenord som ger total kontroll över systemet.

– En del återstår att utreda, men potentiellt är det ett katastrofläge för dem.

Vilket e-handelsföretaget är vill han i dag inte uppge.

25 000 angripna datorer är ingen anmärkningsvärt hög siffra om man jämför med konventionella botnät, nätverk av datorer som har tagits över med hjälp av trojaner eller annan skadlig kod. Det unika med Windigo är att operationen riktar sig mot servrar, framförallt sådana som kör Linux.

I de fall angripna servrar fungerar som webbservrar har webbplaser modifierats för att plantera trojaner på besökarnas datorer.

Leif Nixon har den senaste tiden tagit kontakt med mängder av sajtägare vars servrar har angripits utan deras vetskap. Många av dem blev förvånade, eftersom sajterna i deras ögon har fungerat som de ska hela tiden.

– Någon gång har jag fått säga “här är ditt root-lösenord”. Först då har de trott på att de är knäckta.

Fakta

* Har pågått sedan 2011
* Ett samordnat angrepp mot minst 25 000 servrar, mestadels Linuxbaserade. 
* 700 av dem utnyttjas i dagsläget för att skicka besökare till skadligt innehåll.
* Flera typer av skadlig kod har använts, bland annat Ebury, Glupteba och Cdorked.