Windigo, une vaste opération de détournement de serveurs Unix et Linux

Eset a analysé en profondeur une opération de détournement de serveurs Unix et Linux lancée au plus tard en 2011. Plus de 25 000 machines en seraient victimes à travers le monde.

Voler des identifiants SSH, rediriger des internautes vers des contenus malicieux ou encore diffuser des pourriels. C’est l’utilisation qui est faite, selon Eset, de serveurs Unix et Linux détournés dans le cadre d’une vaste opération baptisée Windigo. Selon l’éditeur, l’opération serait en cours depuis 2011, voire avant. Et au cours des deux dernières années, quelque 25 000 serveurs auraient été détournés, dont plus de 1 400 en France. Ils sont notamment utilisés pour transférer 35 millions de pourriels chaque jour - dont plus de deux millions dans l’Hexagone entre août et février derniers. Et 700 serveurs Web seraient aujourd’hui utilisés ainsi pour rediriger des internautes vers des contenus malicieux - ils seraient plus de 500 000 chaque jour. Mais avec un taux de succès d’infiltration sur leurs machines limité à 1 %. Dans son rapport d’étude, menée conjointement avec le CERT allemand et le Cern, notamment, Eset explique que l’opération vise un vaste éventail de systèmes d’exploitation : OS X, OpenBSD, FreeBSD, Windows (via Cygwin), mais aussi Linux, sur x86 et ARM. L’éditeur précise que des entités de renom ont été victimes de l’opération, citant cPanel, ou encore la fondation Linux, avec son site kernel.org.

Et Eset de décrire un groupe de cybercriminels compétents, connaissant bien les systèmes d’exploitation visés, s’étant attaché à produire un logiciel malveillant de « haute qualité » : « furtif, portable, disposant d’un chiffrement robuste. » Trois composants clés sont utilisés dans le cadre de l’opération : Linux/Ebury, une porte dérobée OpenSSH utilisée « pour garder les contrôles des serveurs et voler des identifiants », Linux/Cdorked, la porte dérobée HTTP de redirection de trafic Web - portable sur httpd, Nginx et lighttpd -, et PerlCalfbot, un script d’envoi de pourriels écrit en Perl. A cela s’ajoutent Linux/Onimiki, visant les serveurs DNS, et Win32/Boaxxe.G, un logiciel malveillant de fraude au clic.

Eset souligne enfin qu’aucune vulnérabilité n’a été exploitée sur les serveurs Linux dans le cadre de l’opération Windigo : « uniquement des identifiants volés ont été mis à profit. » Et d’expliquer que les identifiants sont soit volés lorsqu’un utilisateur s’identifie avec succès sur un serveur compromis, soit lorsqu’il se connecte à un serveur à partir d’une machine déjà compromis. Les pirates n’accèdent jamais directement aux serveurs compromis : ils passent par un tunnel d’anonymisation opéré par une autre machine compromise. Et les identifiants interceptés par Ebury sont envoyés à « des serveurs d’exfiltration via des requêtes DNS spécifiques ». Pour l’éditeur, « l’authentification par mot de passe sur des serveurs devrait être considérée comme une chose du passé ». Et pour cause : le groupe à l’origine de l’opération Windigo aurait collecté au moins 2 145 mots de passe SSH, dont certains ne comptaient que 3 caractères, pour une moyenne de 11,1 caractères.

Pour approfondir sur Menaces, Ransomwares, DDoS