lunes, abril 07, 2014

Operación Windingo: 25000 Servidores Unix infectados

Está Escrito:
Guarda tu lengua del mal, Y tus labios de hablar engaño.
(Salmos 34:13)
Tomado de:EspacioLinux
    El Laboratorio de Investigación de ESET, en colaboración con CERT-Bund (Swedish National Infrastructure for Computing) y otros organismos, afirman haber puesto al descubierto una campaña cibercriminal que tomó el control de más de 25.000 servidores Linux y Unix en todo el mundo infectando a más de 500.000 equipos.
La operación Windingo puede estarse desarrollando desde hace aproximadamente 2 años y se cree que distribuye 35 millones de mensajes spam diarios. Además se cree que otro objetivo de Windingo son usuarios del Sistema Operativo Windows que visitan páginas legítimas de servidores infectados.
Es necesario que los administradores de sistemas verifiquen la existencia del rookit conocido como Ebury SSH.
Ebury is a SSH rootkit/backdoor trojan for Linux and Unix-style operating systems (like FreeBSD or Solaris). It is installed by attackers on root-level compromised hosts by either replacing SSH related binaries (ssh, sshd, ssh-add, etc.) or a shared library used by SSH (libkeyutils).
Fuente: https://www.cert-bund.de/ebury-faq
CERT-Bund informa que Ebury provee un backdoor para que los atacantes puedan acceder de manera remota a los servidores infectados.
“El backdoor Ebury, desplegado por la operación Windigo, no explota una vulnerabilidad en Linux o OpenSSH, En su lugar, se instala manualmente por un atacante malicioso. El hecho de que se las hayan arreglado para hacer esto en decenas de miles de servidores diferentes, es impactante. Aunque las soluciones antivirus y la doble autenticación es común en las computadoras de escritorio, rara vez se utiliza para proteger servidores, haciéndolos vulnerables a robo de credenciales y a propagar malware fácilmente” dijo el investigador de seguridad ESET Marc-Étienne Léveillé.
Fuentes: