Windigo, malware bersaglia 25mila server Linux

25.000 server dedicati e 500.000 computer infettati. Sarebbero questi i “numeri” di Windigo, un’operazione orchestrata da un team di criminali informatici che ha preso di mira macchine Linux server.
A rivelare tutti i dettagli su Windigo sono stati i tecnici di ESET che hanno spiegato di aver individuato una correlazione diretta tra alcune minacce già note sul versante Linux.
Gli aggressori sarebbero stati talmente abili ad organizzare il loro attacco su vasta scala che per anni l’azione Windigo è rimasta celata nell’ombra: secondo le stime di ESET, infatti, dei 25.000 server Linux infettati nell’ultimo biennio, 10.000 sarebbero tutt’oggi ancora infetti. La prima comparsa di uno dei componenti malware utilizzati nell’operazione Windigo sarebbe stata addirittura registrata a settembre 2011 quando fu attaccato addirittura kernel.org, il repository ufficiale del codice sorgente del kernel Linux.
Lo stesso malware fu successivamente adoperato in un attacco sferrato nei confronti del sito web di cPanel, noto pannello di controllo grafico per la gestione e l’amministrazione di siti web e servizi di hosting.

Nel corso degli attacchi sono stati utilizzati essenzialmente tre componenti: Linux/Ebury, backdoor OpenSSH che consente agli aggressori di mantenere sempre il controllo del server e di sottrarre le credenziali d’accesso; Linux/Cdorked, una backdoor HTTP sfruttata per reindirizzare e, quindi, smistare altrove il traffico web; Perl/Calfbot, uno script Perl per l’invio di spam.

Facendo leva sull’alto numero di macchine server violate, gli aggressori hanno potuto inviare qualcosa come 35 milioni di messaggi di spam al giorno. Allo stesso tempo, usando il meccanismo per il redirecting del traffico HTTP, i criminali informatici hanno girato le richieste di connessione provenienti dai visitatori verso siti web malevoli.

Anche l’Italia sembra stia stata largamente interessata dagli attacchi sferrati nei confronti dei sistemi Linux insieme con Stati Uniti, Germania, Francia, Regno Unito, Olanda, Russia, Canada, Messico ed Ucraina.

Per verificare che sulla macchina Linux che si sta amministrando non sia presente l’infezione, viene suggerito di eseguire il comando seguente dalla finestra del terminale: ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"