Opération Windigo : 25000 serveurs UNIX infectés par un cheval de Troie

Les chercheurs en sécurité d'ESET ont mis le doigt sur une vaste attaque informatique qui cible, une fois n'est pas coutume, les serveurs UNIX. Les machines infectées envoient massivement du spam à travers le monde, mais pas seulement.

00C8000002700730-photo-worm-ver-malware-virus-cheval-troie-virus-logo-gb-sq.jpg
Cette campagne cybercriminelle, baptisée Windigo par les experts en sécurité, a déjà touché 25 000 serveurs UNIX et Linux à travers le monde, et elle est toujours en cours. Dans la mesure où environ 60% des sites Web sont hébergés sur des serveurs de ce type, la menace a de quoi inquiéter.

Le kit de logiciels malveillants utilisé dans cette cyberattaque circule depuis plus de 2 ans. Une fois le serveur contaminé, ce dernier participe au transit d'une grande quantité de spam, mais peut également avoir d'autres usages en fonction de la machine de l'internaute. « Il est intéressant de noter que la menace varie en fonction du système d'exploitation de l'utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d'installer un malware via un kit d'« exploit ». En revanche, Windigo affiche des publicités de sites de rencontres pour les utilisateurs sous MAC OS. Les possesseurs d'iPhone, quant à eux, sont redirigés vers des contenus pornographiques » souligne le rapport. 500 000 internautes sont redirigés chaque jour vers du contenu malveillant en lien avec Windigo.

Quant à l'installation de la menace, elle est réalisée manuellement par les pirates, qui installent eux-mêmes une backdoor OpenSSH nommée Ebury sur les serveurs ciblés. Il n'y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d'une mauvaise configuration des serveurs, ou d'un système d'authentification trop léger.

Les experts, qui estiment que « plus de 35 millions de pourriels sont envoyés chaque jour » par les serveurs touchés, appellent les administrateurs à la vigilance. ESET recommande aux administrateurs systèmes sous UNIX et aux webmasters d'exécuter la ligne de commande suivante afin de vérifier l'intégrité de leur système :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

« Si les administrateurs systèmes constatent que leurs serveurs sont infectés, il est alors recommandé de formater les machines concernées et réinstaller les systèmes d'exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées » explique le rapport. Le renforcement des solutions d'authentification sont également fortement conseillées pour barrer la route aux pirates.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Comparatif des meilleurs PC portables pour les créatifs (2021)
Comparatif des meilleurs PC portables HP (2021)
Apex Legends : une version mobile annoncée par Electronic Arts
Comparatif des meilleurs PC portables de 13 pouces (2021)
Comparatif des meilleurs PC portables 2-en-1 (2021)
Comparatif des meilleurs PC portables Asus (2021)
PlayStation Store : Sony renonce à la fermeture de sa boutique sur PS3 et PS Vita
Incendie du datacenter OVH à Strasbourg : retour sur une catastrophe moderne
Fitbit dévoile Luxe, un bracelet connecté aux allures de bijou
Forfait mobile : derniers jours pour profiter de l'offre B&You 200 Go à moins de 15€
Haut de page