Por Nancy Owano, 19 de marzo de 2014
Phys.org.- Investigadores de seguridad anunciaron el martes que se está llevando a cabo una campaña cibernética criminal denominada Windigo,
que mediante la inyección de software malicioso está comprometiendo
miles de servidores de Linux y Unix. Una vez infectado el servidor, se
utiliza para robar las credenciales de las víctimas, o para redirigir el
tráfico de Internet hacia contenidos maliciosos o el envío de millones
de mensajes de spam al día.
La compañía de seguridad informática ESET dijo que Windigo,
mientras está pasando desapercibido a gran parte de los investigadores
en seguridad, lleva operando más de dos años y medio. Pierr-Marc Bureau,
director de los programas de seguridad de ESET, dijo que Windigo tiene
actualmente unos 10.000 servidores bajo su control. “Este número ya
es significativo si se tiene en cuenta que cada uno de estos sistemas
tiene acceso a un ancho de banda considerable, una gran capacidad de
almacenamiento, potencia de cálculo y memoria”. El equipo de investigación de seguridad de ESET ha trabajado en colaboración con la Infraestructura Nacional Sueca de Computación
y otros organismos, señalando que una vez infectados los sistemas de
las víctimas, se utilizan para redirigir el tráfico de Internet hacía
contenidos maliciosos y el envío de Spam.
Con miles de servidores Linux y Unix en peligro, Windigo
es vista como una operación a gran escala. Su propósito parece ser el
de obtener beneficios económicos, dijo el equipo. La principal vía de
ataque de Windigo es una puerta trasera de OpenSSH, insertando un
programa que cambia la dirección web y envía correo no deseado.
Servidores ubicados en Estados Unidos, Alemania, Francia y el Reino
Unido se encuentran entre los equipos infectados.
Un Informe detallado fue
publicado el pasado martes por el equipo de investigación de ESET,
titulado Windigo, y en el Informe se describe como una vivisección en el
servidor Linux para insertar malware (software malicioso). Las
debilidades conocidas en estos sistemas son explotadas por personas mal
intencionadas con el fin de mantener sus botnet (robots informáticos).
Entre las principales
conclusiones del equipo: los módulos maliciosos utilizados en la
Operación Windigo están diseñados para ser transferibles. El módulo de
envío de spam se ha visto que se puede ejecutar en todo tipo de sistemas
operativos, mientras que la puerta trasera SSH se ha empleado tanto en
servidores Linux como FreeBSD.
Más de 25.000 servidores se han visto comprometidos en estos últimos
dos años. La calidad de los distintos módulos de malware es alta, con
criptografía acústica (contraseña de sesión y nonce (número arbitrario
usado una sola vez), transferible, y muestra un profundo conocimiento
del ecosistema Linux.
Los investigadores de ESET
están asesorando a los administradores de sistemas para realizar las
acciones pertinentes en caso de que el servidor se vea comprometido. “Si
los administradores descubren que sus equipos están infectados, se les
aconseja limpiar el ordenador infectado y volver a instalar el sistema
operativo y el software. Para un mayor nivel de protección en el futuro,
debe considerarse una contraseña en dos factores, o al menos un uso
seguro de las contraseñas de SSH”.
Esta
empresa cuenta con oficinas centrales en Bratislava (Eslovaquia), con
centros de investigación de malware en Bratislava, San Diego, Buenos
Aires, Singapur, Praga, Kosice (Eslovaquia), Cracovia, Montreal y Moscú,
y una amplia red de socios.
Noticias relacionadas:
http://noticiasdeabajo.wordpress.com/2014/03/24/operacion-windigo-ataque-a-miles-de-servidores-de-linux-y-unix/
No hay comentarios:
Publicar un comentario