L’idée reçue que les malwares n’existent pas sur les systèmes Unix et Linux a la tête dure, et malheureusement un nouvel exemple vient de prouver que ce n’est pas le cas, avec une attaque massive par un malware ayant touché plusieurs dizaines de milliers de serveurs.
Découverte par des chercheurs d’ESET et du CERT allemand, l’éditeur de l’anti-virus NOD32 et de diverses autres solutions de sécurité, l’attaque baptisée « Operation Windigo » est en cours depuis plus de trois ans et touche actuellement 10 000 serveurs, mais en aurait touché jusqu’à 25 000 à son apogée.
Étonnamment, le malware utilisé pour cette attaque n’exploite pas la moindre faille de sécurité, il a dû être installé manuellement sur chaque machine infectée, ce qui a donc nécessité que les pirates aient un accès sur ces machines, par exemple en volant les identifiants d’un administrateur.
Une fois installé, le malware permet de prendre le contrôle sur la machine et de lui faire effectuer diverses tâches nuisibles : envoie de spam (35 millions de mails par jour selon les estimations des chercheurs), diffusion de malwares vers les visiteurs des sites hébergés par les serveurs infectés, redirection vers des sites de rencontre ou des sites pornographiques…
Si vous administrez des serveurs Linux ou Unix, vous pouvez utiliser cette commande pour savoir si vous êtes infecté :
1 |
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected" |
En cas d’infection, ESET recommande d’effectuer une réinstallation complète de la machine, en prenant soin de ne pas réutiliser les mêmes mots de passe.