Operación Windigo: ataque a miles de servidores de Linux y Unix

 

Por Nancy Owano, 19 de marzo de 2014

Phys.org

Operacion-Windigo

Phys.org.- Investigadores de seguridad anunciaron el martes que se está llevando a cabo una campaña cibernética criminal denominada Windigo, que mediante la inyección de software malicioso está comprometiendo miles de servidores de Linux y Unix. Una vez infectado el servidor, se utiliza para robar las credenciales de las víctimas, o para redirigir el tráfico de Internet hacia contenidos maliciosos o el envío de millones de mensajes de spam al día.

La compañía de seguridad informática ESET dijo que Windigo, mientras está pasando desapercibido a gran parte de los investigadores en seguridad, lleva operando más de dos años y medio. Pierr-Marc Bureau, director de los programas de seguridad de ESET, dijo que Windigo tiene actualmente unos 10.000 servidores bajo su control. “Este número ya es significativo si se tiene en cuenta que cada uno de estos sistemas tiene acceso a un ancho de banda considerable, una gran capacidad de almacenamiento, potencia de cálculo y memoria”. El equipo de investigación de seguridad de ESET ha trabajado en colaboración con la Infraestructura Nacional Sueca de Computación y otros organismos, señalando que una vez infectados los sistemas de las víctimas, se utilizan para redirigir el tráfico de Internet hacía contenidos maliciosos y el envío de Spam.

Con miles de servidores Linux y Unix en peligro, Windigo es vista como una operación a gran escala. Su propósito parece ser el de obtener beneficios económicos, dijo el equipo. La principal vía de ataque de Windigo es una puerta trasera de OpenSSH, insertando un programa que cambia la dirección web y envía correo no deseado. Servidores ubicados en Estados Unidos, Alemania, Francia y el Reino Unido se encuentran entre los equipos infectados.

Un Informe detallado fue publicado el pasado martes por el equipo de investigación de ESET, titulado Windigo, y en el Informe se describe como una vivisección en el servidor Linux para insertar malware (software malicioso). Las debilidades conocidas en estos sistemas son explotadas por personas mal intencionadas con el fin de mantener sus botnet (robots informáticos).

Entre las principales conclusiones del equipo: los módulos maliciosos utilizados en la Operación Windigo están diseñados para ser transferibles. El módulo de envío de spam se ha visto que se puede ejecutar en todo tipo de sistemas operativos, mientras que la puerta trasera SSH se ha empleado tanto en servidores Linux como FreeBSD. Más de 25.000 servidores se han visto comprometidos en estos últimos dos años. La calidad de los distintos módulos de malware es alta, con criptografía acústica (contraseña de sesión y nonce (número arbitrario usado una sola vez), transferible, y muestra un profundo conocimiento del ecosistema Linux.

Los investigadores de ESET están asesorando a los administradores de sistemas para realizar las acciones pertinentes en caso de que el servidor se vea comprometido. “Si los administradores descubren que sus equipos están infectados, se les aconseja limpiar el ordenador infectado y volver a instalar el sistema operativo y el software. Para un mayor nivel de protección en el futuro, debe considerarse una contraseña en dos factores, o al menos un uso seguro de las contraseñas de SSH”.

Esta empresa cuenta con oficinas centrales en Bratislava (Eslovaquia), con centros de investigación de malware en Bratislava, San Diego, Buenos Aires, Singapur, Praga, Kosice (Eslovaquia), Cracovia, Montreal y Moscú, y una amplia red de socios.

Procedencia: http://phys.org/news/2014-03-windigo-linux-server-side-malware-campaign.html

Noticias relacionadas:

http://www.welivesecurity.com/la-es/2014/03/18/operacion-windigo-malware-utilizado-para-atacar-mas-500-000-computadoras/