Pesquisadores da firma de segurança Eset descobriram uma grande operação cibercriminosa que tem como alvo servidores Linux e Unix, incluindo aqueles pertencentes à própria Linux Foundation e aos desenvolvedores do cPanel, que controla serviços de hospedagem. A ameaça, que distribui spam e redireciona usuários para páginas maliciosas, estaria ativa desde 2011.
A ameaça foi batizada como Windigo e, em seus 36 meses de operação, já teria comprometido mais de 25 mil servidores. A maioria deles é responsável pelo envio em massa de spam, com mais de 35 milhões de mensagens enviadas todos os dias para usuários ao redor do mundo, todas contendo links maliciosos.
Outra parcela da infraestrutura infectada, porém, é responsável por redirecionar usuários de Windows para páginas falsas na internet, em uma tentativa de infectar os computadores e obter informações confidenciais de seus usuários. A ameaça atua, ainda, substituindo anúncios legítimos por propagandas de sites ou serviços pornográficos.
Apesar de um número relativamente pequeno de sistemas infectados, a Eset aponta para o perigo da nova ameaça, já que ela tem como alvo exclusivo os servidores. Assim, ela é capaz de atingir uma série de novos usuários comuns, além de utilizar a infraestrutura e banda mais robustas para se espalhar de maneira mais eficaz.
A firma aponta, por exemplo, para os riscos de um ataque de negação de serviço que utilize servidores em vez de computadores comuns, indicando que mil sistemas do tipo são muito mais eficazes que milhares de computadores pessoais espalhados pelo mundo. Atos desse tipo, porém, ainda não foram identificados.
Há indícios de que a operação Windigo teria relação com uma invasão dos servidores da Linux Foundation, mais precisamente, do serviço kernel.org. O ato criminoso, executado em 2011, não teve muitos detalhes divulgados para o público, com boa parte da culpa atribuída a um rootkitchamado Phalanx, que se infiltrou nos sistemas da organização e teve acesso a informação confidencial dos usuários infectados.
Segundo a Eset, na ocasião, os servidores também foram infectados com um segundo malware, o Linux/Ebury, que teria aberto backdoors no sistema para a entrada de criminosos e controle dos dispositivos por meio do roubo das credenciais de acesso. Sendo assim, foi possível obter controle da infraestrutura mesmo sem uso de brechas na segurança.
Ao final de seu relatório, a Eset taxa como ineficaz a proteção de servidores Linux apenas por senhas simples. Em vez disso, a empresa sugere que administradores de data centers sempre utilizem a autenticação em duas etapas, de forma a impedir o acesso indiscriminado de terceiros que, eventualmente, possam ter usado métodos de roubo de credenciais.
Além disso, a firma de segurança divulgou um comando a ser usado por quem quer descobrir se sua infraestrutura está infectada com o Windigo:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
Em caso positivo, a sugestão é a reinstalação do sistema operacional das máquinas comprometidas e a mudança de senhas de acesso que estejam armazenadas nelas.
Fonte: http://canalte.ch/SE0K
