Operación Windigo: comprometida la seguridad de miles de servidores Linux

operation_wintingo2Investigadores de la firma de seguridad ESET en colaboración con el CERN y varias agencias gubernamentales como la CERT-Bund de Alemania o la agencia sueca SNIC,  han documentando una compleja campaña de malware organizado, que han conseguido tomar el control de más de 25 000 servidores de varios sistemas operativos en los últimos dos años, de los cuales 10 000 estaría todavía afectados a día de hoy.

Aunque el ataque se centra en servidores Linux y Unix que son los que dominan el mercado,  otros sistemas como Apple OS X, OpenBSD, FreeBSD o Microsoft Windows, también son vulnerables, y afectaría a servicios cPanel o el mismo kernel.org, que como recordaréis tuvo un problema de seguridad en 2011, al descubrírsele un backdoor.

En el documento se afirma  que Windigo es responsable del envío de un promedio de 35 millones de mensajes de spam a diario. y es capaz de redirigir unos 500.000 visitantes al día a contenido malicioso.

Todo esto lo realiza mediante 6 principales componentes maliciosos que actuan como una especie de cocktail de malware:

  • Linux/Ebury: un backdoor OpenSSH utiliza para controlar los servidores y robar credenciales
  • Linux/Cdorked: un backdoor HTTP utilizado para redirigir el tráfico de Internet, provee una  backdoor shell y distribuye malware windows vía descargas
  • Perl / Calfbot: un script de Perl utilizado para enviar spam
  • Linux/Onimiki: se ejecuta en los servidores DNS de Linux. Resuelve los nombres de dominio con un patrón particular
    a cualquier dirección IP , sin la necesidad de cambiar cualquier configuración del servidor.
  • Win32/Boaxxe.G: un malware de clicks para windows
  • Win32/Glubteta: un proxy genérico, que corre
    en equipos Windows

Todo esto facilitaría la recepción de correo no deseado, la infección de los ordenadores de los usuarios web a través de descargas no autorizadas y permitiría redireccionar el tráfico web a redes de publicidad.

La amenaza varía con el sistema operativo del usuario: siendo el objetivo principal los usuarios de windows mediante malware que redirige a los usuarios a sitios web falsos, los usuarios de Mac y iphone suelen ser el blanco de los anuncios para los sitios de citas o contenido pornográfico.

Es decir dos grupos claramente diferenciados de victimas, por un lado los dueños de servers que utilizan GNU/Linux o Unix que sufren lo que podríamos denominar como un robo de credenciales y por otro los usuarios Windows de PC, que visiten esas páginas que pueden quedar infectados.

En general no suelo dar demasiado crédito a los análisis de las firmas de seguridad en relación a GNU/Linux, todos los años intentan vendernos la moto de un nuevo virus para nuestro sistema favorito. Pero en esta ocasión creo que la amenaza es seria y bien documentada, sin embargo hay que resaltar que no estamos hablando de vulnerabilidades técnicas en los servidores Linux sino más bien de credenciales y contraseñas robadas, por lo que los investigadores de Esset llegaron a la conclusión de el sistema de autenticación de la contraseña en los servidores de acceso es desfasado e insuficiente. Y sugieren usar en su lugar un metodo de autenticación de dos factores.

Al tiempo que invitan a los administradores de servidores a ejecutar este comando para saber si su sistema está limpio:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

En caso de estar infectado, en ESET sugieren la reinstalación completa del sistema con nuevas credenciales.

El documento de 63 páginas que explica todos los detalles técnicos de esta operación lo podéis encontrar en PDF aquí.

Fuente

Dejar un comentario?

0 Comentarios.

Deje un comentario


NOTA - Puede usar estosHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Translate »