Pas moins de 25 000 serveurs Unix dans le monde ont été piratés par un Cheval de Troie ces deux dernières années, rapporte les experts en sécurité de l’éditeur ESET. La découverte des attaques a été réalisée en collaboration avec le CERT-Bund (Allemagne) et l’agence nationale suédoise de recherche sur les infrastructures réseau (Snic), notamment.
Baptisé Windigo (ou Wendigo, du nom d’une créature mythologique des Amérindiens algonquiens), la bestiole opère à plusieurs niveaux. D’une part, le malware a permis de générer l’envoi de millions de spam par les serveurs infectés. Et d’autre part, il vise à infecter en retour les ordinateurs qui se connectent aux serveurs compromis pour leur dérober des informations.
L’éditeur note que les comportements de Windigo diffèrent selon le profil du visiteur ou, plus précisément, de son système d’exploitation. Sous Windows, l’agent malveillant tente d’installer un malware via un kit « d’exploit » d’une faille de sécurité. Sous Mac OS, Windigo se contente d’afficher des publicités pour des sites de rencontres, voire des contenus pornographiques pour les utilisateurs d’iPhone.
« Plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur, déclare Marc-Etienne Léveillé, chercheur en sécurité chez ESET. Pire encore, chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté. L’internaute est alors redirigé vers des malwares ou des annonces publicitaires. »
Les serveurs de Kernel.org (dépôt des codes sources de Linux) et cPanel (un panneau de contrôle de gestion de sites web) figurent parmi les serveurs victimes de Windigo, révèle l’éditeur qui fournit un guide complet sur le mode opératoire du malware dans son rapport PDF de 69 pages (résumé ici).
Une campagne d’infection aussi discrète qu’efficace due à l’installation manuelle par les auteurs, ou commanditaires, de Windigo sur les serveurs en question. « La backdoor (porte dérobée) « Ebury » propagée par la campagne de cybercriminalité Windigo n’exploite pas une vulnérabilité de Linux ou d’OpenSSH », confirme le chercheur. Les attaquants ont donc eu accès, d’une manière ou d’une autre, aux commandes de dizaine de milliers de serveurs Unix/Linux via les droits administrateurs.
Alors que plus de 60% des sites Internet sont hébergés sur un serveur Linux, ESET lance un appel aux webmasters et administrateurs pour qu’ils vérifient l’intégrité de leur système*. « Face à une telle menace, ne rien faire c’est contribuer à l’expansion du malware et des pourriels. Quelques minutes de votre temps peuvent concrètement faire la différence », poursuit Marc-Etienne Léveillé. En cas d’infection, pas d’autre solution que le formatage complet du système et sa réinstallation avec toutes les applications qui l’accompagnent. Aussi radical que contraignant. Et y ajouter (cette fois, serait-on tenté de dire) des solutions d’identification fortes. Dans tous les cas, le changement des mots de passe s’impose.
* notamment en tapant la commande suivante : $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected
Crédit image : bloomua – Shutterstock.com
Voir aussi
Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…