Pour gérer vos consentements :
Categories: CloudSécurité

Comment Windigo infecte des milliers de serveurs Web Linux… et leurs visiteurs

Pas moins de 25 000 serveurs Unix dans le monde ont été piratés par un Cheval de Troie ces deux dernières années, rapporte les experts en sécurité de l’éditeur ESET. La découverte des attaques a été réalisée en collaboration avec le CERT-Bund (Allemagne) et l’agence nationale suédoise de recherche sur les infrastructures réseau (Snic), notamment.

Baptisé Windigo (ou Wendigo, du nom d’une créature mythologique des Amérindiens algonquiens), la bestiole opère à plusieurs niveaux. D’une part, le malware a permis de générer l’envoi de millions de spam par les serveurs infectés. Et d’autre part, il vise à infecter en retour les ordinateurs qui se connectent aux serveurs compromis pour leur dérober des informations.

500 000 ordinateurs menacés par jour

L’éditeur note que les comportements de Windigo diffèrent selon le profil du visiteur ou, plus précisément, de son système d’exploitation. Sous Windows, l’agent malveillant tente d’installer un malware via un kit « d’exploit » d’une faille de sécurité. Sous Mac OS, Windigo se contente d’afficher des publicités pour des sites de rencontres, voire des contenus pornographiques pour les utilisateurs d’iPhone.

« Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur, déclare Marc-Etienne Léveillé, chercheur en sécurité chez ESET. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »

Les serveurs de Kernel.org (dépôt des codes sources de Linux) et cPanel (un panneau de contrôle de gestion de sites web) figurent parmi les serveurs victimes de Windigo, révèle l’éditeur qui fournit un guide complet sur le mode opératoire du malware dans son rapport PDF de 69 pages (résumé ici).

Un malware installé manuellement

Une campagne d’infection aussi discrète qu’efficace due à l’installation manuelle par les auteurs, ou commanditaires, de Windigo sur les serveurs en question. « La backdoor (porte dérobée) « Ebury » propagée par la campagne de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou d’OpenSSH », confirme le chercheur. Les attaquants ont donc eu accès, d’une manière ou d’une autre, aux commandes de dizaine de milliers de serveurs Unix/Linux via les droits administrateurs.

Alors que plus de 60% des sites Internet sont hébergés sur un serveur Linux, ESET lance un appel aux webmasters et administrateurs pour qu’ils vérifient l’intégrité de leur système*. « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence », poursuit Marc-Etienne Léveillé. En cas d’infection, pas d’autre solution que le formatage complet du système et sa réinstallation avec toutes les applications qui l’accompagnent. Aussi radical que contraignant. Et y ajouter (cette fois, serait-on tenté de dire) des solutions d’identification fortes. Dans tous les cas, le changement des mots de passe s’impose.

* notamment en tapant la commande suivante : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected

Crédit image : bloomua – Shutterstock.com


Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes

Recent Posts

Qui utilise (vraiment) les outils low code et no code ?

Près de 5 développeurs sur 10 utilisent des outils low / no code. Mais pour…

5 heures ago

DevSecOps : Snyk nomme Adi Sharabani CTO

Snyk a recruté Adi Sharabani au poste de chief technology officer. Il encadre l'évolution technique…

5 heures ago

JavaScript : Meta bascule Jest en open source

Meta a officiellement transféré Jest, son framework de test, à la Fondation OpenJS. Celle-ci s’engage…

6 heures ago

Avec Viva Goals, Microsoft rassemble les collaborateurs autour des objectifs business

Microsoft continue d’étoffer sa plateforme Viva, dédiée à l’expérience collaborateur, en lançant Viva Goals, un…

7 heures ago

Développeurs : Google Cloud pousse Assured OSS

Google Cloud va distribuer un catalogue de bibliothèques logicielles open source approuvées par ses soins.…

10 heures ago

Informatique quantique : BMW renforce sa collaboration avec Pasqal

Le groupe BMW et la start up Pasqal étendent leur collaboration pour concevoir des pièces…

12 heures ago