Un ensemble de logiciels malveillants développé pour créer un réseau sophistiqué de botnets capables de distribuer du spam, de rediriger le trafic Web et d'infecter les ordinateurs des utilisateurs avec des logiciels malveillants, tout en gardant secret l'emplacement des cybercriminels perpétrant les attaques.
On pense que l’opération Windigo s’est développée dans les coulisses au cours des trois dernières années. Il a attiré l'attention du public en mars 2014, lorsque la société de sécurité logicielle ESET a révélé qu'elle était responsable de la compromission de plus de 25,000 35 serveurs Linux. À un moment donné pendant cette période, le réseau Windigo envoyait 500,000 millions de messages de spam par jour et redirigeait plus de XNUMX XNUMX visiteurs Web vers des kits d'exploitation chaque jour, selon ESET.
L'opération Windigo s'appuie principalement sur deux portes dérobées Linux, Linux / Ebury et Linux / Cdorked, pour voler les informations de connexion, compromettre les serveurs Web et rediriger le trafic. Les victimes notables de l'opération Windigo ont inclus cPanel, une plate-forme de panneau de contrôle d'hébergement Web populaire, et kernel.org.
Comment identifier et nettoyer un système compromis par Windigo
Les chercheurs d'ESET ont surnommé le réseau Windigo après une créature cannibale mythique du folklore amérindien algonquien. L'entreprise de sécurité recommande aux administrateurs et aux webmasters d'exécuter la commande suivante pour déterminer si leur serveur a été compromis par l'opération Windigo:
$ ssh -G 2> & 1 | grep -e illégal -e inconnu> / dev / null && echo Système propre || echo Système infecté
Les serveurs infectés par l'opération Windigo doivent être nettoyés complètement et avoir leur système d'exploitation et leurs applications réinstallés. Des mots de passe uniques et des clés privées doivent être créés pour un accès futur à un système précédemment infecté afin d'éviter que le serveur ne soit à nouveau compromis.