Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2014
Operació Windingo: segrest de milers de servidors Unix
Investigadors de la firma de seguretat ESET en col·laboració amb agències com CERT-Bund (la Infraestructura Nacional per a la Informàtica de Suècia) han descobert una campanya cibercriminal coneguda com a Operació Windingo que ha pres el control de 25.000 servidors Unix en tot el món per a distribuir programari maliciós al mig milió d’ordinadors.
Els complexos components del programari maliciós utilitzats han sigut dissenyats per a segrestar servidors, infectar aquells ordinadors que els visiten, un enviament diari de 35 milions de correus d'spam des d’ells i robatori d’informació.
“Windigo s’ha anat fent fort, i ha passat desapercebut per la comunitat d’investigadors en seguretat durant més de dos anys i mig, i actualment disposa de 10.000 servidors sota el seu control,” asseguren els investigadors d’ESET.
“Al voltant de 35 milions de missatges d'spam s’envien cada dia a comptes d’usuaris innocents, i saturen les safates d’entrada i posen els sistemes en risc. Pitjor encara, cada dia al voltant de mig milió d’ordinadors s’arrisquen a ser infectats quan visiten llocs webs que han sigut infectats amb un programari maliciós per a servidors col·locat per l’Operació Windigo i que readreça els usuaris cap a kits d’exploits maliciosos i anuncis”, expliquen en una detallada anàlisi tècnica, presentant tot el que han esbrinat en les seues investigacions i analitzant el programari maliciós.
El document (en .pdf descarregable) també proporciona una guia per a esbrinar si el sistema que utilitzem ha sigut infectat i instruccions per a eliminar el codi maliciós. En concret recomanen als administradors de sistemes Unix i webmasters que executen el botó d'ordre següent, que els permetrà esbrinar si el seu servidor es troba compromés o no:
$ ssh -G 2>&1 | grep -i illegal -e unknown > /dev/null && tire “System clean” || tire “System infected”
Si els administradors de sistemes descobrixen que els seus sistemes estan infectats, se’ls aconsella formatar els ordinadors afectats i reinstal·lar novament tant el sistema operatiu com el programari utilitzat. Resulta essencial que s’utilitzen contrasenyes noves i claus privades, ja que les credencials utilitzades fins a eixe moment es poden considerar compromeses per l’Operació Windingo.