Operation Windigo

Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

Questa è più o meno la scansione degli eventi:

  • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
  • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
  • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
  • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
  • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
  • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
  • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
  • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
  • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

Linux/Ebury è strutturato in modo da colpire il più grande numero di piattaforme possibile attraverso il furto delle credenziali di accesso, indipendentemente dalla loro complessità e lunghezza. Il risultato è che sono state interessate tutte le piattaforme *NIX: Linux (comprese le architetture ARM), FreeBSD,OpenBSD, Apple OS X. Una volta che Linux/Ebury installa la backdoor in ssh, questa rimane attiva anche se le credenziali di accesso vengono modificate. Perl/Calfbot ha infettato i medesimi sistemi vittime di Linux/Ebury e i Windows con Cygwin installato.

Questa command line permette di verificare se il proprio sistema è infettato da Linux/Ebury:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "Pulito" || echo "Infetto"

Bisogna evidenziare che, una volta rubate le credenziali di accesso, i sistemi Linux sono stati compromessi solamente attraverso quel canale e non è stata sfruttata alcuna vulnerabilità. Ciò porta alla conclusione che via ssh l’unico metodo di autenticazione che è inattaccabile dalla versione di Linux/Ebury nota sia lo scambio di chiavi. Tuttavia, se un sistema viene compromesso da Linux/Ebury e da questo ci si collega ad un altro sistema utilizzando lo scambio di chiavi, il trojan è in grado di catturare la chiave, anche se questa è protetta da password, in quanto viene catturata anche la password.

Questo è un altro esempio lampante di come non esistano sistemi operativi inattaccabili dal malware: queste considerazioni lasciamole ai fanatici e tifosi (e non mi sto riferendo solo ad un sistema operativo). La realtà dei fatti impone a tutti i SysAdmin di aprire gli occhi, ingurgitare la pillola rossa e darsi da fare per evitare che i loro sistemi facciano danno. (via The Hacker News)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

6 pensieri riguardo “Operation Windigo”

  1. Aaah… con Windows senza Cygwin sono a posto e tranquillo! 😉 🙂
    Bravo Luigi, la chiosa mi è piaciuta: abbasso i fanboy.

  2. ssh -G ????
    dove e quale manuale indica il -G su secure shell ?????

    Please, invece di riChiamare i sysAdmin a fare il loro lavoro, dopo aver ingoiato la pillola rossa,… PLEASE verificare i parametri del ssh (secure shell), e dopo parlare/scrivere….

    certamente noi sysAdmin sbagliamo, come tutti gli umani del mondo, ma verificare prima certi parametri sarebbe meglio… per tutti…

    1. Se tu avessi letto il rapporto di ESET prima di scrivere il tuo commento, ti saresti accorto da dove viene quel -G

      Please RTFM prima di inalberarsi. Grazie.

      1. Invece, perdonami, ma qui c’e` da inalberarsi.

        Abbiamo un team che sviluppa un sistema estremamente complesso ma molto efficace, composto di vari moduli che girano su tipi di ambienti anche molto diversi fra di loro, creando codice ben portabile da una piattaforma all’altra…

        … e poi si scordano di documentare un’opzione command line aggiunta ad ssh?

        No, non e` tollerabile. Va bene essere autori di malware al servizio della criminalita` organizzata, ma e` intollerabile che non si seguano corrette pratiche di documentazione del lavoro svolto.

Spazio per un commento