Actualites

Windigo, une vaste opération de détournement de serveurs Unix et Linux

Valéry Marchive

Voler des identifiants SSH, rediriger des internautes vers des contenus malicieux ou encore diffuser des pourriels. C’est l’utilisation qui est faite, selon Eset, de serveurs Unix et Linux détournés dans le cadre d’une vaste opération baptisée Windigo. Selon l’éditeur, l’opération serait en cours depuis 2011, voire avant. Et au cours des deux dernières années, quelque 25 000 serveurs auraient été détournés, dont plus de 1 400 en France. Ils sont notamment utilisés pour transférer 35 millions de pourriels chaque jour - dont plus de deux millions dans l’Hexagone entre août et février derniers. Et 700 serveurs Web seraient aujourd’hui utilisés ainsi pour rediriger des internautes vers des contenus malicieux - ils seraient plus de 500 000 chaque jour. Mais avec un taux de succès d’infiltration sur leurs machines limité à 1 %. Dans

Continuer à lire cet article

Profitez de cet article, ainsi que de tous nos e-guides, actus, conseils, et bien plus.

En soumettant vos informations d'enregistrement à LeMagIT.fr vous acceptez de recevoir des communications par courriel de TechTarget et de ses partenaires. Nous vous encourageons à lire notre Politique de confidentialité qui contient des données importantes sur la façon dont nous recueillons et utilisons votre inscription et d'autres informations. Si vous résidez hors des États-Unis, en soumettant ces informations d'inscription, vous consentez à ce que vos données personnelles soient transférées et traitées aux États-Unis. Vous pouvez nous contacter à webmaster@TechTarget.com.

son rapport d’étude, menée conjointement avec le CERT allemand et le Cern, notamment, Eset explique que l’opération vise un vaste éventail de systèmes d’exploitation : OS X, OpenBSD, FreeBSD, Windows (via Cygwin), mais aussi Linux, sur x86 et ARM. L’éditeur précise que des entités de renom ont été victimes de l’opération, citant cPanel, ou encore la fondation Linux, avec son site kernel.org.

Et Eset de décrire un groupe de cybercriminels compétents, connaissant bien les systèmes d’exploitation visés, s’étant attaché à produire un logiciel malveillant de « haute qualité » : « furtif, portable, disposant d’un chiffrement robuste. » Trois composants clés sont utilisés dans le cadre de l’opération : Linux/Ebury, une porte dérobée OpenSSH utilisée « pour garder les contrôles des serveurs et voler des identifiants », Linux/Cdorked, la porte dérobée HTTP de redirection de trafic Web - portable sur httpd, Nginx et lighttpd -, et PerlCalfbot, un script d’envoi de pourriels écrit en Perl. A cela s’ajoutent Linux/Onimiki, visant les serveurs DNS, et Win32/Boaxxe.G, un logiciel malveillant de fraude au clic.

Eset souligne enfin qu’aucune vulnérabilité n’a été exploitée sur les serveurs Linux dans le cadre de l’opération Windigo : « uniquement des identifiants volés ont été mis à profit. » Et d’expliquer que les identifiants sont soit volés lorsqu’un utilisateur s’identifie avec succès sur un serveur compromis, soit lorsqu’il se connecte à un serveur à partir d’une machine déjà compromis. Les pirates n’accèdent jamais directement aux serveurs compromis : ils passent par un tunnel d’anonymisation opéré par une autre machine compromise. Et les identifiants interceptés par Ebury sont envoyés à « des serveurs d’exfiltration via des requêtes DNS spécifiques ». Pour l’éditeur, « l’authentification par mot de passe sur des serveurs devrait être considérée comme une chose du passé ». Et pour cause : le groupe à l’origine de l’opération Windigo aurait collecté au moins 2 145 mots de passe SSH, dont certains ne comptaient que 3 caractères, pour une moyenne de 11,1 caractères.


Réagir à cet article Commentaire

Partager
Commentaires

    Résultats

    Participez à la discussion

    Tous les champs sont obligatoires. Les commentaires apparaîtront sous l'article.