Les serveurs UNIX comme cible. Et quelle cible! Plus de 60% des sites web sont hébergés sur des serveurs UNIX ou Linux…
Première alerte en 2011 avec la compromission de serveurs de la Linux Foundation. Selon un rapport publié par ESET en collaboration avec plusieurs agences nationales de sécurité, plus de 25 000 serveurs UNIX et Linux ont été compromis à un moment donné par un cheval de Troie et transformés en une véritable plateforme de diffusion de spam et malwares.
ESET démontre aujourd’hui le mode opératoire. Une fois le serveur contaminé, il participe au transit d’une grande quantité de spam. Selon le rapport, «la menace varie en fonction du système d’exploitation de l’utilisateur. Ainsi, pour un ordinateur sous Windows visitant un site infecté, Windigo, tente d’installer un malware via un kit d’’exploit’. Pour des utilisateurs de machines sous OS X (Apple), Windigo affiche des publicités de sites de rencontres. Voire, pour les possesseurs d’iPhone, des contenus pornographiques.» Le but recherché par les cybercriminels peut être le vol de données personnelles et manifestement l’intention de gagner de l’argent.
Quant à l’installation de la menace, elle est réalisée manuellement par les pirates, qui installent eux-mêmes une backdoor OpenSSH nommée Ebury sur les serveurs ciblés. Il n’y a donc pas de faille exploitée à proprement parler, mais les pirates profitent cependant d’une mauvaise configuration des serveurs ou d’un système d’authentification trop léger.
En deux ans et demi, Windigo a eu le temps de se renforcer, prenant le contrôle de plus de 10 000 serveurs. Et jamais, jusqu’ici, il n’a été détecté par la communauté d’experts en sécurité, constate ESET. Résultat: plus de 35 millions de pourriels sont envoyés chaque jour à d’innocentes victimes, encombrant leur boîte de réception et menaçant la sécurité de leur ordinateur. Pis: chaque jour, plus d’un demi-million d’ordinateurs sont menacés par la simple visite d’un site Internet dont le serveur est infecté.
Aux administrateurs systèmes qui constatent que leurs serveurs sont infectés, ESET -distribué en Belgique et au Luxembourg par MGK Technologies- recommande de formater les machines concernées et réinstaller les systèmes d’exploitation et les logiciels. La sécurité des accès étant compromise, il est également essentiel de changer tous les mots de passe et clés privées.
De même, il est recommandé d’intégrer des solutions d’authentification forte pour garantir un meilleur niveau de protection. Le spécialiste de la sécurité se dit conscient que formater un serveur et repartir de zéro est un traitement radical… mais si des hackers sont en possession d’un accès distant aux serveurs suite au vol d’identifiants administrateur, le moindre risque n’est pas permis!
