Operación Windigo: comprometida la seguridad de miles de servidores Linux

por | 19 marzo, 2014

operation_wintingo1

Investigadores de la firma de seguridad ESET en colaboración con el CERN y varias agencias gubernamentales como la CERT-Bund de Alemania o la agencia sueca SNIC,  han documentando una compleja campaña de malware organizado, que han conseguido tomar el control de más de 25 000 servidores de varios sistemas operativos en los últimos dos años, de los cuales 10 000 estaría todavía afectados a día de hoy.

Aunque el ataque se centra en servidores Linux y Unix que son los que dominan el mercado,  otros sistemas como Apple OS X, OpenBSD, FreeBSD o Microsoft Windows, también son vulnerables, y afectaría a servicios cPanel o el mismo kernel.org, que como recordaréis tuvo un problema de seguridad en 2011, al descubrírsele un backdoor.

En el documento se afirma  que Windigo es responsable del envío de un promedio de 35 millones de mensajes de spam a diario. y es capaz de redirigir unos 500.000 visitantes al día a contenido malicioso.

Todo esto lo realiza mediante 6 principales componentes maliciosos que actuan como una especie de cocktail de malware:

  • Linux/Ebury: un backdoor OpenSSH utiliza para controlar los servidores y robar credenciales
  • Linux/Cdorked: un backdoor HTTP utilizado para redirigir el tráfico de Internet, provee una  backdoor shell y distribuye malware windows vía descargas
  • Perl / Calfbot: un script de Perl utilizado para enviar spam
  • Linux/Onimiki: se ejecuta en los servidores DNS de Linux. Resuelve los nombres de dominio con un patrón particular
    a cualquier dirección IP , sin la necesidad de cambiar cualquier configuración del servidor.
  • Win32/Boaxxe.G: un malware de clicks para windows
  • Win32/Glubteta: un proxy genérico, que corre
    en equipos Windows

operation_wintingo2

Todo esto facilitaría la recepción de correo no deseado, la infección de los ordenadores de los usuarios web a través de descargas no autorizadas y permitiría redireccionar el tráfico web a redes de publicidad.

La amenaza varía con el sistema operativo del usuario: siendo el objetivo principal los usuarios de windows mediante malware que redirige a los usuarios a sitios web falsos, los usuarios de Mac y iphone suelen ser el blanco de los anuncios para los sitios de citas o contenido pornográfico.

Es decir dos grupos claramente diferenciados de victimas, por un lado los dueños de servers que utilizan GNU/Linux o Unix que sufren lo que podríamos denominar como un robo de credenciales y por otro los usuarios Windows de PC, que visiten esas páginas que pueden quedar infectados.

En general no suelo dar demasiado crédito a los análisis de las firmas de seguridad en relación a GNU/Linux, todos los años intentan vendernos la moto de un nuevo virus para nuestro sistema favorito. Pero en esta ocasión creo que la amenaza es seria y bien documentada, sin embargo hay que resaltar que no estamos hablando de vulnerabilidades técnicas en los servidores Linux sino más bien de credenciales y contraseñas robadas, por lo que los investigadores de Esset llegaron a la conclusión de el sistema de autenticación de la contraseña en los servidores de acceso es desfasado e insuficiente. Y sugieren usar en su lugar un metodo de autenticación de dos factores.

Al tiempo que invitan a los administradores de servidores a ejecutar este comando para saber si su sistema está limpio:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

operation_wintingo

En caso de estar infectado, en ESET sugieren la reinstalación completa del sistema con nuevas credenciales.

El documento de 63 páginas que explica todos los detalles técnicos de esta operación lo podéis encontrar en PDF aquí.

Vía | Arch Technica

Fuente | ESET

19 pensamientos en “Operación Windigo: comprometida la seguridad de miles de servidores Linux

  1. D'Artagnan

    Tirando este comando en mi SO Manjaro 0.8.9, la salida indica que mi sistema está infectado, je, je. Uno no sabe a que atenerse cuando lee este tipo de cosas, por que en este ordenador, desde donde estoy editando ahora mismo,(Cuidadin, cuidadin) todavía no hace ni cuatro días que lo instalé. Ínterin acabo de instalar los programas y utilidades a las que estoy acostumbrado para dejar el sistema a mi gusto. Por cierto que a fe mía, este Manjaro Xfce si funciona con una perfección desmedida, que no será cuando este libre de ese supuesto malware. Imaginad, entonces, como pueden llegar a estar los Windows.
    ~]$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»
    System infected

    Responder
    1. manolox

      Ese comando no es nada fiable a mi juicio.
      A mi también me sale como infectado, ¡pero si no soy servidor de nada…!

      El comando pide una opción de ssh y la filtra con grep. Luego «si sale bien (&&)» es ordenador no infectado, y «si sale mal (||)» esta infectado.

      El problema, al menos en mi caso, es que si siquiera tengo instalado ssh y por lo tanto es siempre un «sale mal».

      Si ejecuto el comando exactamente igual pero cambiando el primer «ssh» por por ejemplo «castañaspodridas», igualmente me da como infectado.

      castañaspodridas -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»

      Responder
      1. tannhausser Autor

        Es lo que comento en el post…es un comando que recomiendan ejecutar a los que administran servidores Linux/Unix, que lo que hace es descubrir una característica añadida por el malware al binario de ssh. Segun Esset es la forma rápida de analizar si el server está infectado, aunque no está exenta de falsos positivos, en el caso de que se hayan aplicados algunos parches recientes en openssh como este http://roumenpetrov.info/openssh/

        En resumen un usuario de GNU/Linux en el desktop no debería preocuparse demasiado por ello…pero si tenéis curiosidad en el pdf incluye otras maneras más exhaustivas de comprobarlo.

        Responder
    1. tannhausser Autor

      De nada amigo!
      Yo también opino que lo de Mandingo quedaría mucho mejor xD
      Saludos y gracias por comentar!

      Responder
  2. Yoyo

    Yo solo leí hasta ESET, y ahí paré de leer.

    ESET (compañía de software antivirus para Windows) por qué habría de hacerle caso… a la verga.

    Responder
    1. tannhausser Autor

      @yoyo Eso es lo que yo pienso generalmente, pero este caso parece algo serio y si no pregúntate por que tienes el iphone ultimamente tan lleno de porn…

      casualidad? yo no lo creo… 🙂

      Responder
  3. tannhausser Autor

    @yoyo aparte que los del CERN usan GNU/Linux y también participaron en la investigación…y burros burros…tampoco es que sean xD

    Responder
  4. anonimo

    Buen día, he estado probando aquí en gentoo y me sale lo siguiente:

    $ ssh -G
    unknown option — G

    Efectivamente el switch -G no existe en una versión sana (no infectada de ssh)
    http://lwn.net/Articles/591023/
    Bajen el .pdf y vean lo que dice en la sección 4.4.2 en la página 30 van a leer esto:

    Using Commands Locally
    It is possible to run backdoor commands without creating a custom SSH client to allow sending of arbitrary version identification strings. One can use an infected ssh binary and the -G switch: supply the hexadecimal-encoded string of the backdoor password and the command name encrypted with IP address 0.0.0.0 as the argument. Only the Xcat and Xver commands are supported in this mode. We can also use this technique to find out if a server is infected.
    Please refer to the IOC section for more information.

    Responder
  5. dmacias

    Yo si tengo instalado ssh y menos mal que me da limpio

    [dmacias@dmacompu] {~} $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»
    System clean
    [dmacias@dmacompu] {~} $

    Lo que si es cierto es que parece que algo se esta cociendo en la red, ultimamente hay un exceso de «cosas malas» pululando por ahí, cada día se descubren muchas cosas y toneladas de información de como hacer el mal, haber a donde llegamos.

    Volvere a instalar Kali Linux haber si yo tambien aprendo xD

    Responder
  6. anonimo

    Las cosas malas las veo hace rato con systemd journald consolekit y un largo
    cosa.kit, que no son mas que parches a un mal diseño intencional.
    Desde luego por mas código libre que haya, hay que tener cuidado porque hay paquetes o herramientas con doble sentido, solas no son peligrosas…pero trabajando juntas se pasan la seguridad por el arco del triunfo….así es el ser humano, siempre queriendo aprovecharse de las masas.

    Responder
  7. Valfar

    Mm esto de Linux/Ebury está muy extraño, tengo mi PC particionada con windows y linux mint, me llamo la atencion el tema, escribi el comando en el terminal, y el resultado fue system infected, inicie sesion en windows, pase un largo rato navegando y demás, ahora volví a iniciar sesión en Mint y volvi a escribir el comando para comprobar si mi sistema está comprometido, pues para mi sorpresa el resultado fue: Systen clean… Extraño verdad?

    Responder
  8. Oscar

    Soy un fanático de linux y con mucho pesar descubrí en Manjaro 8.10 al escribir el comando en el terminal y fue system infectado. Desinstale y formatee el Disco rígido y realice una nueva instalacion con otra distribucion linux Debian procedí de vuelta a escribir el comando y la terminal me informo System Clear.
    No se si tomar en serio esta información o los servidores de Manjaro están Infectado de Linux/Ebury.
    Dado que archlinux Manjaro para mi funcionaba muy bien sin problema

    Responder
    1. 0352armando

      Muy interesante tu comentario, vamos a verificar tu información con nuestros servidores. Gracias por la informacion.

      Responder

Responder a tannhausserCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.