Comment Windigo infecte des milliers de serveurs Web Linux… et leurs visiteurs

CloudSécurité
malware Backdoor Rakshasa

Le malware Windigo a transformé plus de 25 000 serveurs Unix/Linux en diffuseurs de spam. Surtout les visiteurs sous Windows qui s’y connectent risquent le vol d’informations via la diffusion de malware.

Pas moins de 25 000 serveurs Unix dans le monde ont été piratés par un Cheval de Troie ces deux dernières années, rapporte les experts en sécurité de l’éditeur ESET. La découverte des attaques a été réalisée en collaboration avec le CERT-Bund (Allemagne) et l’agence nationale suédoise de recherche sur les infrastructures réseau (Snic), notamment.

Baptisé Windigo (ou Wendigo, du nom d’une créature mythologique des Amérindiens algonquiens), la bestiole opère à plusieurs niveaux. D’une part, le malware a permis de générer l’envoi de millions de spam par les serveurs infectés. Et d’autre part, il vise à infecter en retour les ordinateurs qui se connectent aux serveurs compromis pour leur dérober des informations.

500 000 ordinateurs menacés par jour

L’éditeur note que les comportements de Windigo diffèrent selon le profil du visiteur ou, plus précisément, de son système d’exploitation. Sous Windows, l’agent malveillant tente d’installer un malware via un kit « d’exploit » d’une faille de sécurité. Sous Mac OS, Windigo se contente d’afficher des publicités pour des sites de rencontres, voire des contenus pornographiques pour les utilisateurs d’iPhone.

« Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur, déclare Marc-Etienne Léveillé, chercheur en sécurité chez ESET. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »

Les serveurs de Kernel.org (dépôt des codes sources de Linux) et cPanel (un panneau de contrôle de gestion de sites web) figurent parmi les serveurs victimes de Windigo, révèle l’éditeur qui fournit un guide complet sur le mode opératoire du malware dans son rapport PDF de 69 pages (résumé ici).

Un malware installé manuellement

Une campagne d’infection aussi discrète qu’efficace due à l’installation manuelle par les auteurs, ou commanditaires, de Windigo sur les serveurs en question. « La backdoor (porte dérobée) “Ebury” propagée par la campagne de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou d’OpenSSH », confirme le chercheur. Les attaquants ont donc eu accès, d’une manière ou d’une autre, aux commandes de dizaine de milliers de serveurs Unix/Linux via les droits administrateurs.

Alors que plus de 60% des sites Internet sont hébergés sur un serveur Linux, ESET lance un appel aux webmasters et administrateurs pour qu’ils vérifient l’intégrité de leur système*. « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence », poursuit Marc-Etienne Léveillé. En cas d’infection, pas d’autre solution que le formatage complet du système et sa réinstallation avec toutes les applications qui l’accompagnent. Aussi radical que contraignant. Et y ajouter (cette fois, serait-on tenté de dire) des solutions d’identification fortes. Dans tous les cas, le changement des mots de passe s’impose.

* notamment en tapant la commande suivante : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected

Crédit image : bloomua – Shutterstock.com


Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes


Lire la biographie de l´auteur  Masquer la biographie de l´auteur