Opération Windigo : des milliers de serveurs Linux infectés

Une équipe de l’éditeur d’antivirus ESET en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité ont mis le doigt sur une vaste campagne d’attaques cybercriminelles enclenchée depuis 2011. Baptisée Windigo, la campagne avait pour objectif d’attaquer les serveurs UNIX. Un choix stratégique qui peut se comprendre si on prend en considération le fait que plus de 60% des sites web sont hébergés sur des serveurs de ce type.

Dans le mode opératoire, une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, « il est intéressant de noter que la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d’iPhone, quant à eux, sont redirigés vers des contenus pornographiques. ». ESET note par ailleurs que plus de 700 serveurs Web dirigent actuellement les internautes vers du contenu malveillant.

« Depuis 2 ans et demi, Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs, sans être détecté par la communauté d’experts en sécurité » constate Marc-Etienne Léveillé, chercheur en sécurité chez ESET. « Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »


Afin de compromettre les serveurs, les hackers ont eu recours à une backdoor OpenSSH dénommée Ebury qui a dû être installée manuellement par des cybercriminels. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.
ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.

Il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. « Nous sommes conscients que formater votre serveur et repartir de zéro est un traitement radical. Mais, si des hackers sont en possession d’un accès distant à vos serveurs suite au vol de vos identifiants administrateur, il ne faut prendre aucun risque. » explique Marc-Etienne Leveillé. « Malheureusement, certaines victimes avec qui nous sommes en contact savent qu’elles sont infectées mais n’ont pour l’instant rien fait pour nettoyer leurs systèmes mettant ainsi en danger toujours plus d’internautes. »

« Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence. » estime Marc-Etienne Leveillé

Source : blog ESET

Et vous ?

En avez-vous été victime ?