Opération Windigo : 25000 serveurs UNIX infectés par un cheval de Troie

Les chercheurs en sécurité d'ESET ont mis le doigt sur une vaste attaque informatique qui cible, une fois n'est pas coutume, les serveurs UNIX. Les machines infectées envoient massivement du spam à travers le monde, mais pas seulement.

worm ver malware virus cheval troie virus logo gb sq<br />
Cette campagne cybercriminelle, baptisée Windigo par les experts en sécurité, a déjà touché 25 000 serveurs UNIX et Linux à travers le monde, et elle est toujours en cours. Dans la mesure où environ 60% des sites Web sont hébergés sur des serveurs de ce type, la menace a de quoi inquiéter.

Le kit de logiciels malveillants utilisé dans cette cyberattaque circule depuis plus de 2 ans. Une fois le serveur contaminé, ce dernier participe au transit d'une grande quantité de spam, mais peut également avoir d'autres usages en fonction de la machine de l'internaute. « Il est intéressant de noter que la menace varie en fonction du système d'exploitation de l'utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d'installer un malware via un kit d'« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d'iPhone, quant à eux, sont redirigés vers des contenus pornographiques » souligne le rapport. 500 000 internautes sont redirigés chaque jour vers du contenu malveillant en lien avec Windigo.

Quant à l'installation de la menace, elle est réalisée manuellement par les pirates, qui installent eux-mêmes une backdoor OpenSSH nommée Ebury sur les serveurs ciblés. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.

Les experts, qui estiment que « plus de 35 millions de pourriels sont envoyés chaque jour » par les serveurs touchés, appellent les administrateurs à la vigilance. ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

« Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d'exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées » explique le rapport. Le renforcement des solutions d'authentification sont également fortement conseillées pour barrer la route aux pirates.
Commentaires
Chargement des commentaires...
( les afficher maintenant )