Vidéo: ЭВОЛВ ШАМАН | ДЕШЕВАЯ ИМБА | ЯРМАРКА БЕЗУМИЯ | HEARTHSTONE (Novembre 2024)
Les attaquants ont infecté et pris le contrôle de plus de 25 000 serveurs Unix pour créer une plate-forme de distribution massive de spam et de logiciels malveillants, a déclaré ESET. Les administrateurs Linux et Unix doivent immédiatement vérifier si leurs serveurs font partie des victimes.
Le gang derrière la campagne d'attaque utilise les serveurs infectés pour voler les informations d'identification, distribuer le spam et les logiciels malveillants et rediriger les utilisateurs vers des sites malveillants. Les serveurs infectés envoient chaque jour 35 millions de messages de spam et redirigent quotidiennement un demi-million de visiteurs vers des sites malveillants, a déclaré Pierre-Marc Bureau, responsable du programme de renseignement de sécurité chez ESET. Les chercheurs pensent que la campagne, baptisée Opération Windigo, a détourné plus de 25 000 serveurs au cours des deux dernières années et demie. Le groupe contrôle actuellement 10 000 serveurs, a précisé le bureau.
ESET a publié un document technique contenant plus de détails sur la campagne et comprenant une simple commande ssh que les administrateurs peuvent utiliser pour déterminer si leurs serveurs ont été piratés. Si tel est le cas, les administrateurs doivent réinstaller le système d'exploitation sur le serveur infecté et modifier toutes les informations d'identification jamais utilisées pour se connecter à la machine. Étant donné que Windigo a collecté les informations d'identification, les administrateurs doivent présumer que tous les mots de passe et les clés OpenSSH privées utilisées sur cette machine sont compromis et doivent être modifiés, avertit ESET. Les recommandations s'appliquent aux administrateurs Unix et Linux.
Nettoyer la machine et réinstaller le système d'exploitation à partir de zéro peut sembler un peu extrême, mais étant donné que les attaquants avaient volé les identifiants de l'administrateur, installé des portes dérobées et obtenu un accès à distance aux serveurs, l'option nucléaire semble nécessaire.
Éléments d'attaque
Windigo s'appuie sur un cocktail de malwares sophistiqués pour détourner et infecter les serveurs, notamment Linux / Ebury, une porte dérobée OpenSSH et un voleur d'informations d'identification, ainsi que cinq autres malwares. En une seule fin de semaine, les chercheurs ESET ont observé plus de 1, 1 million d'adresses IP différentes traversant l'infrastructure de Windigo avant d'être redirigées vers des sites malveillants.
Les sites Web compromis par Windigo ont à leur tour infecté les utilisateurs Windows avec un kit d’exploitation poussant les malwares à envoyer des spams et des fraudes de clic, des doutes douteux pour les sites de rencontres pour les utilisateurs Mac et redirigeant les utilisateurs d’iPhone vers des sites pornographiques en ligne. Des organisations bien connues telles que cPanel et kernel.org figuraient parmi les victimes, bien qu'elles aient nettoyé leurs systèmes, a précisé le Bureau.
Les systèmes d'exploitation concernés par le composant anti-spam incluent Linux, FreeBSD, OpenBSD, OS X et même Windows, a déclaré Bureau.
Serveurs Rogue
Étant donné que trois des cinq sites Web mondiaux utilisent des serveurs Linux, Windigo a de nombreuses victimes potentielles avec lesquelles jouer. La porte dérobée utilisée pour compromettre les serveurs a été installée manuellement et exploite une configuration et des contrôles de sécurité médiocres, et non des vulnérabilités logicielles dans le système d'exploitation, a déclaré ESET.
"Ce nombre est important si l'on considère que chacun de ces systèmes a accès à une bande passante, une capacité de stockage, une puissance de calcul et une mémoire significatifs", a déclaré le Bureau.
Une poignée de serveurs infectés par des logiciels malveillants peut causer beaucoup plus de dégâts qu'un grand réseau de zombies d'ordinateurs classiques. Les serveurs ont généralement un matériel et une puissance de traitement supérieurs, ainsi que des connexions réseau plus rapides que les ordinateurs des utilisateurs finaux. Rappelons que les attaques par déni de service distribué puissantes dirigées contre divers sites Web bancaires l'année dernière provenaient de serveurs Web infectés situés dans des centres de données. Si l'équipe à la base de Windigo change de tactique pour ne plus utiliser que l'infrastructure et diffuser le spam et les logiciels malveillants à un niveau encore plus dangereux, les dommages pourraient en résulter.
