Dans un rapport aussi fascinant qu’effrayant, les chercheurs du spécialiste de la sécurité ESET détaillent une opération de compromission et d’exploitations de serveurs Linux qui a touché plus de 25 000 serveurs ces deux dernières années.

L’ESET s’est alliée au CERT-Bund (Allemagne), au Swedish National Infrastructure for Computing et au CERN pour mieux comprendre et tenter d’éradiquer ce réseau de bots informatiques.

Ils ont nommé l’opération Windigo,d’après la créature surnaturelle, maléfique et cannibale, issue de la mythologie des Amérindiens algonquiens.

Personne n’est épargné et les serveurs au cœur de la Fondation Linux (responsable du noyau Linux) et de cpanel, le panneau de configuration de site web le plus populaire, ont été compromis.

Les pirates, actifs depuis au moins 2011, utilisent des justificatifs de sécurité volés, en général des mots de passe, pour compromettre des serveurs, voler leurs certificats SSH, rediriger les visiteurs de sites web (500 000 par jour) vers des pages malicieuses et envoyer des pourriels (35 millions par jour).

Si l’opération n’exploite pas de vulnérabilités connues de Linux, et se contente d’utiliser des mots de passe volés, les logiciels malveillants introduits sont d’une extrême sophistication et seraient dans d’autres circonstances exemplaires :

Portabilité. Les logiciels malveillants sont conçus pour être portables. Le module d’envoi de pourriels fonctionne sur de nombreux systèmes d’exploitation. La porte dérobée SSH tourne aussi bien sous Linux que sous FreeBSD. La porte dérobée HTTP fonctionne aussi bien sous Apache que Nginx et lighttpd, les systèmes les plus utilisés pour le web.

La plupart des systèmes d’exploitation utilisés ont été compromis : Apple OS X, FreeBSD, Linux, Linux pour ARM, OpenBSD. Beaucoup plus marginalement Windows via Cygwin. Une connaissance experte des systèmes d’exploitation a été nécessaire pour développer ces portes dérobées si bien cachées.

 

Vue d’ensemble

Vue d'ensemble de l'opération Vindigo

Vue d’ensemble de l’opération Vindigo

Vecteurs

Les quatre principaux vecteurs de l’attaque sont :

  • Linux/Ebury, une porte dérobée OpenSSH. OpenSSH est un ensemble d’outils informatiques libres permettant des communications sécurisées sur un réseau informatique en utilisant le protocole SSH. En général, on a accès à distance à une ligne de commande. Ce qu’exploitent les pirates pour contrôler les serveurs et voler les justificatifs de sécurité.
  • Linux/Cdorked, une porte dérobée du serveur web HTTP, qui permet de rediriger le trafic vers des sites malicieux.
  • Linux/Onimiki, qui tourne sur des serveurs DNS Linux pour résoudre malicieusement les noms de domaines.
  • Perl/Caflbot, un script Perl utilisé pour envoyer des pourriels.

Sur les clients, les deux virus installés sont :

Win32/Boaxxe.G, pour la fraude aux cliques et

Win32/Glupteba.M, serveur mandataire universel.

Exemple de pourriel

Exemple de pourriel

Recommandations

Aujourd’hui, l’ESET estime que 10 000 serveurs sont toujours infectés, et que 700 serveurs redirigent 500 000 visiteurs chaque jour sur des sites malicieux. 1 % d’entre eux seront infectés.

L’ESET conclut que la protection par mots de passe est insuffisante et qu’il faudrait universaliser l’authentification à facteurs multiples.

Les administrateurs de serveurs peuvent vérifier si ces derniers sont compromis avec la commande suivante :

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « Système propre » || echo « System infecté »

 

Si c’est le cas, l’ESET recommande une réinstallation totale du serveur, et le remplacement de tous les justificatifs de sécurité qui étaient sur le serveur.

 

Illustrations « Vue d’ensemble » et « Pourriel » © ESET.