Az ESET kiadta az Unboxing Linux/Mumblehard - Muttering Spam for your Servers című kutatását, amely a Mumblehard kártevő felépítését és tevékenységét vizsgálják.
A jelentés szerint a Linux/Mumblehard a Linuxot és a BSD rendszereket futtató szervereket támadja. A kártevő elsődleges célja, hogy a fertőzött eszközöket kéretlen leveleket küldő botnet kiépítésére használja fel.
„Képesek vagyunk azonosítani a megfertőzött gépeket és figyelmeztetni a tulajdonosokat” – nyilatkozta Marc-Etienne M. Léveillé, az ESET vezető biztonsági kutatója. „Beszédes adat, hogy a 7 hónapos vizsgálati periódus alatt több mint 8500 egyedi IP-címet azonosítottunk. Most, hogy a fenyegetés technikai paraméterei nyilvánosak, az áldozatok könnyebben megérthetik mivel állnak szemben, és megtisztíthatják szervereiket.”
[+]
A kutatók szerint a kártevő két fő összetevőből épül fel. Az első komponens a Joomla és a Wordpress sérülékenységeit kihasználó általános backdoor (hátsó ajtó) program, amely parancsokat fogad az irányító szervertől (Command and Control server). A második összetevő teljes funkcionalitású spammer daemon (olyan rendszerszintű háttérfolyamatok és szolgáltatások, amik folyamatosan futnak, és valamilyen feladat elvégzéséért felelősek), amelyet a hátsó ajtón keresztül kapott utasítás indít el. Megfigyelhető, hogy a Mumblehard kártevő a Linux és BSD rendszereket futtató feltört DirectMailer nevű programon keresztül is terjed, amely jogtiszta változatát 240 dollárért lehet beszerezni a Yellsoft oldalán: „Nyomozásaink során erős kapcsolatot találtunk a Yellsoft nevű szoftvercéggel. Néhány egyéb nyom mellett azt találtuk, hogy a kártevőben kódolt IP-címek szorosan kötődnek a Yellsoft címeihez” – közölte Léveillé.
Összefoglalva: a Linux/Mumblehard fő célja az volt, hogy legitim IP-címek mögül hosszú időn keresztül tömeges méretekben spameket küldjön ki. A fertőzött gépek száma a kutatók által vizsgált hat hónap alatt megduplázódott, és az elemzés arra is fényt derített, hogy az évek óta rejtve működő trójai kapcsolatban állhat a YellSoft nevű tömeges levélküldést végző (úgynevezett DirectMailer) céggel. Maga a kártevő egy Perl nyelven írt script volt, amit elkódolva és futtatható formátumra (ez a Unix rendszereken ELF) lefordítva terjesztettek.
