Operación Windigo Linux Infalible (todo pasado fue mejor)?

Publicado en 'GNU/Linux' por AlmAzOlsADM, 19 Mar 2014.





  1. AlmAzOlsADM

    AlmAzOlsADM Miembro de bronce

    Registro:
    10 Mar 2013
    Mensajes:
    1,042
    Likes:
    303




    Operación Windigo: comprometida la seguridad de miles de servidores Linux
    Investigadores de la firma de seguridad ESET en colaboración con el CERN y varias agencias gubernamentales como la CERT-Bund de Alemania o la agencia sueca SNIC, han documentando una compleja campaña de malware organizado, que han conseguido tomar el control de más de 25 000 servidores de varios sistemas operativos en los últimos dos años, de los cuales 10 000 estaría todavía afectados a día de hoy.

    Aunque el ataque se centra en servidores Linux y Unix que son los que dominan el mercado, otros sistemas como Apple OS X, OpenBSD, FreeBSD o Microsoft Windows, también son vulnerables, y afectaría a servicios cPanel o el mismo kernel.org, que como recordaréis tuvo un problema de seguridad en 2011, al descubrírsele un backdoor.

    En el documento se afirma que Windigo es responsable del envío de un promedio de 35 millones de mensajes de spam a diario. y es capaz de redirigir unos 500.000 visitantes al día a contenido malicioso.

    Todo esto lo realiza mediante 6 principales componentes maliciosos que actuan como una especie de cocktail de malware:

    Linux/Ebury: un backdoor OpenSSH utiliza para controlar los servidores y robar credenciales
    Linux/Cdorked: un backdoor HTTP utilizado para redirigir el tráfico de Internet, provee una backdoor shell y distribuye malware windows vía descargas
    Perl / Calfbot: un script de Perl utilizado para enviar spam
    Linux/Onimiki: se ejecuta en los servidores DNS de Linux. Resuelve los nombres de dominio con un patrón particular
    a cualquier dirección IP , sin la necesidad de cambiar cualquier configuración del servidor.
    Win32/Boaxxe.G: un malware de clicks para windows
    Win32/Glubteta: un proxy genérico, que corre
    en equipos Windows
    operation_wintingo2

    Todo esto facilitaría la recepción de correo no deseado, la infección de los ordenadores de los usuarios web a través de descargas no autorizadas y permitiría redireccionar el tráfico web a redes de publicidad.

    La amenaza varía con el sistema operativo del usuario: siendo el objetivo principal los usuarios de windows mediante malware que redirige a los usuarios a sitios web falsos, los usuarios de Mac y iphone suelen ser el blanco de los anuncios para los sitios de citas o contenido pornográfico.

    Es decir dos grupos claramente diferenciados de victimas, por un lado los dueños de servers que utilizan GNU/Linux o Unix que sufren lo que podríamos denominar como un robo de credenciales y por otro los usuarios Windows de PC, que visiten esas páginas que pueden quedar infectados.

    En general no suelo dar demasiado crédito a los análisis de las firmas de seguridad en relación a GNU/Linux, todos los años intentan vendernos la moto de un nuevo virus para nuestro sistema favorito. Pero en esta ocasión creo que la amenaza es seria y bien documentada, sin embargo hay que resaltar que no estamos hablando de vulnerabilidades técnicas en los servidores Linux sino más bien de credenciales y contraseñas robadas, por lo que los investigadores de Esset llegaron a la conclusión de el sistema de autenticación de la contraseña en los servidores de acceso es desfasado e insuficiente. Y sugieren usar en su lugar un metodo de autenticación de dos factores.

    FUENTE:
    http://lamiradadelreplicante.com/20...da-la-seguridad-de-miles-de-servidores-linux/
    http://peru21.pe/tecnologia/operaci...as-500-mil-computadoras-2174813?href=cat0pos2
     


  2. eliotime3000

    eliotime3000 Miembro de bronce

    Registro:
    15 Ene 2013
    Mensajes:
    1,482
    Likes:
    283
    ESET..... Con razón es que paran metiendo la rata cuando sacaron la versión para GNU/Linux.

    En fin, eso sería parte de las trolleadas que hacen estos "expertos en malware".