RSSFlux RSS des mises à jour. Abonnement gratuit  Que sont les Flux RSS

Chercher dans ce site
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


BotNet Windigo

Dernière mise à jour
18.03.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Initial

BotNet Windigo

BotNet WindigoBotNet WindigoBotNet Windigo

BotNet Windigo
Cette attaque fait, simultanément, deux types de victimes : les administrateurs et opérateurs de serveurs Web sous Linux/Unix, dont les serveurs sont compromis, et les utilisateurs finaux sous Windows, les internautes, visitant les sites hébergés sur ces serveurs.

La découverte du botnet Windigo a été annoncée le 18.03.2014 par Eset (fournisseur d'antivirus et de solutions de sécurité). Eset a travaillé en équipe avec le Cern (Centre Européen de Recherches Nucléaires) et le CERT-Bund (Computer Emergency Response Team - Organisation Fédérale allemande). Le botnet Windigo, au moment de sa découverte (21 février 2014 - publication de l'analyse d'un malware côté serveur, Linux/Ebury, maintenant ouverte une porte dérobée (backdoor)), compromettait plus de 25 000 serveurs web ! Des milliers d'administrateurs ont été avertis. Au 18.03.2014, le botnet Windigo compromet encore 10.000 serveurs, selon Eset.

Ces serveurs, tous sous Linux, hébergent des dizaines de milliers de sites Web que des centaines de millions d'internautes visitent (500 millions par jour).

Pour donner la mesure du risque, environ 60% de tous les serveurs du monde sont sous Linux (classiquement : LAMP (Linux-Apache-MySQL-PHP)).

Windigo est sufisemment sophistiqué pour être resté plus de deux ans et demi totalement inaperçu de la communauté de la sécurité.

Les cybercriminels ont trouvé une faille dans le protocole sécurisé OpenSSH d'OpenBSD, utilisé également sous Linux, freeBSD, OS X, et même Windows avec Perl tournant sous Cygwin, et l'exploitent depuis trois ans (depuis septembre 2011), piégeant tous les visiteurs mal protégés ou dont les correctifs connus aux failles de sécurité n'ont pas été appliqués (pas de mise à jour effectuée, telle que Windows Update dans le monde Windows !).

Le malware « Cdorked », trouvé en 2013 sur les serveurs web Apache, ne serait qu'une partie d'un botnet baptisé « Windigo ».

Tous les visiteurs de ces sites sont ciblés, qu'ils soient sous Windows, Linux, Mac ou iPhone, mais seuls les utilisateurs sous Windows sont des victimes d'une compromission de leur machine (par un Drive by Download ou un mécanisme publicitaire trompeur).

  • Les visiteurs sous Windows des sites sur ces serveurs sont scannés avec un outil de type Scanner de failles (outils détecteurs de failles de sécurité, aussi bien utilisés en sécurité informatique qu'en attaque de systèmes informatiques) et, dès qu'une faille est trouvée, un Exploit est lancé (exploitation de la faille de sécurité trouvée, permettant, par exemple, de zombifier le PC compromis ou de voler tous les identifiants et tous les mots de passe, dont sur les comptes financiers, etc. ...). Les malwares Windows, selon la terminologie Eset, sont Win32/Glupteba.M ou Win32/Boaxxe.G. Lire : Sans pare-feu, moins de 4 minutes pour survivre.
  • Les visiteurs sous Mac OS X sont gratifiés de publicités pour des sites de rencontres (soit que ces sites appartiennent aux cybercriminels, ce genre de sites étant une mine d'or en termes de tracking et de profiling, revendus à qui paye, y compris polices, sectes, officines gouvernementales, etc. ... (il suffit de voir les publicités déversées sur les chaînes de télévision par ces " services gratuits " et de se demander d'où vient l'argent), soit que ces sites de rencontres rémunèrent les cybercriminels pour chaque nouvel inscrit grace à leurs " services ").

    Gratuit ? Rien n'est gratuit, sur le Net :

    Lorsque le produit est gratuit, c'est que vous êtes le produit.
    Lorsque le service est gratuit, c'est que vous êtes le service.


  • Les utilisateurs d'iPhone sont redirigés vers des contenus pornographiques. Là aussi, soit les sites pornographiques appartiennent aux cybercriminels, soit ils rémunèrent les cybercriminels).
D'autre part, les 500 millions de visiteurs par jour, de ces sites hébergés sur les serveurs compromis, sont redirigés vers des contenus malicieux.

Enfin, avec son infrastructure de machines compromises formant un botnet, les cybercriminels, au plus fort du BotNet, envoyaient 35 millions de spam par jour (on est tout de même loin des 30 milliards de spams par jour du BotNet Rustock).

BotNet Windigo
BotNet Windigo

Windigo

Le nom " Windigo ", donné à cette attaque, provient du nom d'une créature surnaturelle, le Wendigo (parfois orthographié Windigo), maléfique et cannibale, faisant partie de la mythologie des Algonquiens (un ensemble de peubles indiens d'Amérique, de souche commune, d'Amérique du Nord et du Canada, dont les Algonquins, les Cheyennes et les Cris (Cree)). Buffy Sainte-Marie, universitaire indienne Cree, chanteuse et militante activiste sociale, auteur, entre autre, du célèbre Bury My Heart at Wounded Knee et de l'universellement connu, repris, et hymne des mouvements pour la paix Universal Soldier, chante Wendigo.
Buffy Sainte-Marie - Toute sa musique

Analyse de la compromission des serveurs Linux
Indicateurs de compromission
Lighttpd and nginx web servers also affected

Contre-mesure à Windigo :

Concerne tous les administrateurs de serveurs sous Linux, freeBSD, OS X, et même Windows avec Perl tournant sous Cygwin.
Indicateurs de compromission
Décontamination
Prévention
Hash des diverses versions des fichiers de malware identifiés :
Linux/Ebury (backdoor OpenSSH (porte dérobée OpenSSH) Credential stealing - Spyware - vol d'identifiants et mots de passe)
Linux/Cdorked (backdoor http (porte dérobée http) fraudes, mécanismes publicitaires et publicités frauduleuses - Exemple) (Drive by Download) (redirection de trafic Web avec utilisation d'un serveur DNS modifié utilisant le logiciel TinyDNS plutôt que BIND)
Win32/Boaxxe.G (fraudes, mécanismes publicitaires et publicités frauduleuses - Exemple)
Win32/Glupteba.M (robot spammeur - exemple de spam de phishing)
Perl/Calfbot (robot spammeur - exemple de spam de phishing)
Linux/Onimiki

Opération Windigo - un document pdf Eset de 69 pages avec outils de détection et de décontamination

Comment je me fais avoirComment je me fais avoirComment je me fais avoir

Essentiellement à cause de failles de sécurité non corrigées ou par ouverture d'une pièce jointe d'un eMail (dans ce dernier cas, c'est le virus PEBCAK qui est en cause).

  • Janvier 2007
    Selon Vinton Cerf, l'un des pères fondateurs d'Internet, président de l'ICANN, et co-inventeur du protocole de communication Internet TCP/IP, dans une déclaration de fin janvier 2007 à Davos, le problème des BotNet (réseaux cachés faits à partir de la prise de contrôle de votre ordinateur (zombification et zombies) par un cybercriminel) serait désormais d'ordre pandémique : un quart de tous les ordinateurs connectés au réseau Internet (soit cent cinquante millions des six cent millions d'ordinateurs connectés à l'Internet en 2007, trois cents millions des 1,2 milliard d'ordinateurs connectés à l'Internet fin 2012) appartiendraient, avant leurs propriétaires légitimes, à des pirates qui en ont le contrôle total et les mettent en "Réseaux de Robots" (BotNets), pour cracher du Spam à longueur de journée ou lancer des attaques en Déni de service distribue (DDoS) contre des serveurs et demander des rançons à leurs propriétaires (les faire payer pour leur "protection") ou encore pour lancer des arnaques bancaires, par Spam, en Phishing, et pour implanter des Adwares (logiciels publicitaires) pour lesquels ils perçoivent une commission au nombre d'Adwares implantés, etc. ... Il ne s'agit donc pas d'un simple problème technique de virus et de failles de sécurité, mais d'un problème de macro-économie planétaire.

  • Février 2011
    Les dix premiers botnets représentent, à eux seuls, 57% des infections mondiales de PCs. Une étude de la société Pingdom, spécialisée dans les conseils et services Internet, donne le chiffre de 1,97 milliard d'utilisateurs dans le monde. Il y aurait donc, en 2010, plus d'un milliard d'ordinateurs utilisés, à l'insu de leurs propriétaires, dans un BotNet !

  • Mars 2011
    La progression des ordinateurs infectés, se retrouvant zombifiés et noyés dans un BotNet, est explosive. Le rapport Damballa pour le 1er semestre 2011 fait état, en Amérique du nord, de plus de 58% des ordinateurs zombifiés avec au moins 5 BotNets comportant chacun plus de 1 million de zombies. Microsoft, dans The Microsoft Securiry Chronicles du 03 mars 2011, fait état d'une progression de 654% des machines zombifiées entre début et fin 2010 !

Contre mesuresContre mesures" Contre mesures "

Lorsque votre machine est pénétrée et contaminée, vous pensez être une victime ? Oui, peut-être, mais si votre machine est utilisée en relais pour lancer une attaque (faire "tomber" un site gouvernemental ou militaire, ou demander une rançon, etc. ...), vous pouvez être recherché, juridiquement, pour complicité, à cause de votre laxisme à protéger votre machine (le principe de poursuites et d'amendes pour piratage d'œuvres soumises à droits, par " Hadopi ", repose sur le même principe : machine mal protégée = laxisme coupable du propriétaire).

Utilisez des outils et réglages de protection mais :

  • N'empilez pas trop d'outils, vous risqueriez l'effet inverse (incompatibilité, blocages mutuels, etc. ...)
  • Ne jamais vous reposer pas sur vos outils, au risque de baisser, voire perdre, votre niveau de vigilance.
  • Réfléchissez d'abord, cliquez ensuite.

Contre-mesures préventives : Maintenir sa machine intègre, impénétrable, efficiente :

Contre-mesures curatives - Décontaminer, éventuellement, sa machine :

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "