25000 servidores Linux secuestrados derivan en 500000 PCs atacados cada día

0

Linux ha caido de forma silenciosa y continuada durante casi 2 años

Si sois responsables de una web alojada en servidores Linux, o bien responsables de la seguridad de los servidores Unix de vuestra empresa, hay algo importante que debéis hacer rápidamente.

Investigadores de ESET, en colaboración con el CERT, la European Organization for Nuclear Research (CERN), la agencia Nacional Sueca de Infraestructura para Computación y similares, han descubierto una operación extendida a nivel mundial, que ha concedido el poder sobre miles de servidores UNIX a ciber-atacantes.

En caso de que vuestro sistema haya acabado infectado, los expertos recomiendan encarecidamente que se re-instale el sistema operativo, considerando todas las credenciales de acceso a esa máquina como inservibles. A corto plazo, si hemos sido víctimas, deberíamos cambiar todas las contraseñas y claves OpenSSH.

El ataque ha recibido el nombre de Windingo, debido a una criatura mítica de la cultura de los indios algonquianos de América. El resultado es impactante, más de 35000 servidores Linux hackeados, lo que se ha traducido en 25 millones de mensajes de Spam enviados cada día desde las máquinas comprometidas.

Un ejemplo del Spam enviado es la imagen inferior:

Spam sent from Windigo-affected server

Por sí mismo, ya sería algo bastante grave. Pero en este caso, los atacantes también han estado secuestrando los servidores web para infectar a los visitantes con PCs Windows. El método ha sido clásico: enlaces infectados que conducen a una descarga dirigida de malware. Para los usuarios de equipos Mac, la cosa queda en anuncios de webs de contactos.

Los usuarios de smartphone tampoco se libran, quedando los iPhones redirigidos a contenido catalogado como X, con la intención de obtener dinero por esta vía.

Windigo redirects iPhone users to X-rated websites

ESET ha publicado un informe técnico sobre la “Operación Windigo“. Afirman creer que la campaña ha estado funcionando en la sombra, sin levantar sospechas de la comunidad, por un período de casi 2 años.

Más de 35 millones de mensajes de Spam están siendo enviados diariamente a usuarios inocentes, poniendo sus sistemas en riesgo. Peor aún, cada día, más de medio millón de PCs están en riesgo de infección, ya que visitan páginas web que han sido envenenadas con malware en su servidor” afirma uno de los expertos de ESET.

En su intento de secuestrar servidores e infectar ordenadores, Windigo utiliza un sofisticado conjunto de componentes de malware, incluyendo Linux/Ebury (Una backdoor o puerta trasera de OpenSSH que sustrae credenciales), junto con Linux/Cdorked, Perl/Calfbot, Linux/Onimiki, Win32/Glubteba.M y Win32/Boaxxe.G.

Durante sólo una semana, los investigadores de ESET han observado más de 1,1 millones de IPs diferentes, atravesando parte de la infraestructura de Windigo, antes de ser redirigidas hacia servidores con Kits de Exploit preparados.

Analizando un buen número de visitantes que resultaron infectados, se descubrió una gran variedad de sistemas operativos afectados.

 

Debemos tomar los datos ofrecidos con ciert cautela, ya que apuntan a que 23 personas, aparentemente, aún navegan en Internet con Windows 98, incluso una persona lo hace en Windows 95. Sería algo de lo más curioso.

Victims by operating system

Desde ESET, recomiendan a los administradores de sistemas Unix y webmasters, ejecutar el siguiente comando para saber si su servidor ha sido comprometido o no:


$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”


Este sencillo comando UNIX, debería decirnos rápidamente si nuestro sistema ha sido comprometido o no por Windigo, así podremos saber si necesitamos empezar a tomar precauciones adicionales en el futuro.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR