Pas moins de 25 000 serveurs Unix dans le monde ont été piratés par un Cheval de Troie ces deux dernières années, rapporte les experts en sécurité de l’éditeur ESET. La découverte des attaques a été réalisée en collaboration avec le CERT-Bund (Allemagne) et l’agence nationale suédoise de recherche sur les infrastructures réseau (Snic), notamment.
Baptisé Windigo (ou Wendigo, du nom d’une créature mythologique des Amérindiens algonquiens), la bestiole opère à plusieurs niveaux. D’une part, le malware a permis de générer l’envoi de millions de spam par les serveurs infectés. Et d’autre part, il vise à infecter en retour les ordinateurs qui se connectent aux serveurs compromis pour leur dérober des informations.
L’éditeur note que les comportements de Windigo diffèrent selon le profil du visiteur ou, plus précisément, de son système d’exploitation. Sous Windows, l’agent malveillant tente d’installer un malware via un kit « d’exploit » d’une faille de sécurité. Sous Mac OS, Windigo se contente d’afficher des publicités pour des sites de rencontres, voire des contenus pornographiques pour les utilisateurs d’iPhone.
« Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur, déclare Marc-Etienne Léveillé, chercheur en sécurité chez ESET. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »
Les serveurs de Kernel.org (dépôt des codes sources de Linux) et cPanel (un panneau de contrôle de gestion de sites web) figurent parmi les serveurs victimes de Windigo, révèle l’éditeur qui fournit un guide complet sur le mode opératoire du malware dans son rapport PDF de 69 pages (résumé ici).
Une campagne d’infection aussi discrète qu’efficace due à l’installation manuelle par les auteurs, ou commanditaires, de Windigo sur les serveurs en question. « La backdoor (porte dérobée) « Ebury » propagée par la campagne de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou d’OpenSSH », confirme le chercheur. Les attaquants ont donc eu accès, d’une manière ou d’une autre, aux commandes de dizaine de milliers de serveurs Unix/Linux via les droits administrateurs.
Alors que plus de 60% des sites Internet sont hébergés sur un serveur Linux, ESET lance un appel aux webmasters et administrateurs pour qu’ils vérifient l’intégrité de leur système*. « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence », poursuit Marc-Etienne Léveillé. En cas d’infection, pas d’autre solution que le formatage complet du système et sa réinstallation avec toutes les applications qui l’accompagnent. Aussi radical que contraignant. Et y ajouter (cette fois, serait-on tenté de dire) des solutions d’identification fortes. Dans tous les cas, le changement des mots de passe s’impose.
* notamment en tapant la commande suivante : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected
Crédit image : bloomua – Shutterstock.com
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.