Les
chercheurs en sécurité d’ESET®, en collaboration avec le CERT-Bund (Allemagne),
l’agence nationale suédoise pour l’informatique (SNIC) et d’autres agences en
sécurité, ont découvert une vaste campagne d’attaques cybercriminelles qui a
pris le contrôle de plus de 25 000 serveurs UNIX dans le monde entier.
Baptisée
« Windigo » par les experts en sécurité informatique cette campagne a
généré l’envoi de millions de pourriels par les serveurs infectés. Le piratage
de ces serveurs a pour but d’infecter et de voler de l’information des
ordinateurs qui s’y connectent. Parmi les victimes de Windigo, on compte
notamment cPanel et Kernel.org.
Les
experts en sécurité d’ESET, qui ont mis à jour cette campagne, publient un document technique détaillé présentant
leur découverte ainsi qu’une analyse du malware. Ce document explique aussi la
marche à suivre pour détecter si votre infrastructure est infectée et iles
procédures à suivre pour supprimer le code malveillant.
OPERATION
WINDIGO : 3 ANNEES SOUS LES RADARS DES EXPERTS
Alors
que certains experts ont détecté des éléments de la campagne Windigo, celle-ci
est parvenue, en raison de son ampleur et de sa complexité, à déjouer la
vigilance de la communauté d’experts en sécurité.
‘Depuis
2 ans et demi et sans être détecté par la communauté d’experts en sécurité,
Windigo s’est renforcé en prenant le contrôle de 10 000 serveurs’, explique Marc-Etienne
Léveillé, chercheur en sécurité chez ESET. ‘Plus de 35 millions de pourriels
sont envoyés chaque jour à d’innocents utilisateurs, encombrant leur boîte de
réception et menaçant la sécurité de leur ordinateur. Pire, chaque jour, plus d’un
demi-million d’ordinateurs sont menacés par la visite d’un site Internet dont
le serveur est infecté. L’internaute est alors redirigé vers des malwares ou de
la pub’.
Il
est intéressant de noter que pour un ordinateur sous Windows visitant un site
infecté, Windigo, tente d’installer un malware via un kit
d’« exploit ». Pour les utilisateurs sous MAC OS, Windigo affiche des
pubs de sites de rencontres. Les possesseurs d’iPhone, quant à eux, sont
redirigés vers des contenus pornographiques.
APPEL AUX ADMINISTRATEURS SYSTEMES POUR
ERADIQUER WINDIGO
Plus
de 60% des sites Internet à travers le monde sont hébergés sur un serveur
Linux. C’est pourquoi l’équipe de chercheurs d’ESET lance un appel aux
webmasters et administrateurs systèmes pour qu’ils s’assurent que leurs
serveurs n’ont pas été compromis.
‘Les
webmasters et les équipes TIC ont déjà suffisamment de problèmes à gérer et
nous sommes désolés de rajouter une charge de travail supplémentaire, mais
Windigo pose une réelle menace. Tout le monde souhaite être un bon citoyen et vous
avez maintenant l’occasion de protéger concrètement des millions d’internautes’, déclare
Marc-Etienne Léveillé. Quelques minutes de votre temps peuvent faire la
différence’.
COMMENT
SAVOIR SI VOTRE SERVEUR EST INFECTE PAR WINDIGO
Les
chercheurs en sécurité d’ESET, qui ont surnommé cette campagne
« Windigo » en référence à la créature maléfique et cannibale, du
folklore des indiens Algonquin d’Amérique, recommande aux administrateurs
systèmes sous UNIX et aux webmasters d’exécuter la ligne de commande suivante
afin de vérifier l’intégrité de leur système :
$ ssh -G 2>&1 |
grep -e illegal -e unknown > /dev/null && echo "System
clean" || echo "System infected"
UN
TRAITEMENT DE CHOC POUR LES VICTIMES DE WINDIGO
‘En
réalité, la backdoor (porte dérobée) "Ebury" propagée par la campagne
de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou
d’OpenSSH ,’ poursuit Marc-Etienne Leveillé. ‘Elle est installée
manuellement par les cybercriminels. Le fait qu’ils aient réussi à attaquer
ainsi des dizaines de milliers de serveurs différents est simplement effrayant.
Si les solutions anti-virus et d’authentification double sont désormais
largement répandues sur les postes de travail, elles sont par contre peu
employées pour protéger les serveurs ce qui les rend vulnérable au vol
d’identifiants et au déploiement de logiciels malveillants’.
Si
les administrateurs systèmes constatent que leurs serveurs sont infectés, il
est recommandé de formater les machines concernées et de réinstaller les
systèmes d’exploitation et les logiciels. La sécurité des accès étant
compromise, il est essentiel de changer tous les mots de passe et clés privées
et, pour garantir un meilleur niveau de protection, il est aussi recommandé d’installer
des solutions d’authentification forte.
‘Nous
sommes conscients que reformater un serveur et repartir de zéro est un
traitement radical. Mais, si des hackers sont en possession d’un accès à distance
à vos serveurs suite au vol de vos identifiants administrateur, on ne peut pas
prendre de risque’, explique Marc-Etienne Leveillé. ‘Malheureusement, certaines
victimes avec qui nous sommes en contact savent qu’elles sont infectées mais
n’ont pour l’instant rien fait pour nettoyer leurs systèmes. Ainsi elles mettent
toujours plus
ESET
rappelle également qu’il ne faut jamais choisir ou réutiliser un mot de passe
facile à casser.