Inicio / Blog / Operación Windigo: No solo de Windows viven las botnets

Operación Windigo: No solo de Windows viven las botnets

Publicado el 20/04/2014, por Rafael Pablos (INCIBE)
ESET

Desde el año 2011 se vienen sucediendo abundantes compromisos en servicios de hosting, en los cuales el patrón del incidente no terminaba de ser esclarecedor. Hace unas semanas, la compañía ESET hizo público el análisis de una importante campaña de malware a gran escala que afecta a multitud de servidores. Este análisis se ha realizado en colaboración con CERT-Bund, la Organización Nacional Sueca de Computación (SNIC), la Organización Europea para la Investigación Nuclear (CERN) y otros organismos a nivel internacional. Gracias al estudio facilitado, se ha dado a conocer una operación en la cual se han visto comprometidos miles de servidores Linux y Unix de compañías de alto perfil, algunas de las cuales detallaremos más adelante.

El mencionado estudio estima que más de 25.000 servidores únicos han sido comprometidos en los últimos 2 años, de los cuales más de 10.000 aun permanecen infectados; siendo éstos usados para robar credenciales SSH, redirigir a usuarios de sitios Web a contenido malicioso y realizar campañas masivas de SPAM.

Esta operación comenzó cuando ESET se encontraba analizando una serie de malware que tenía como objetivo atacar servidores Linux, a principios de 2012. Desde el comienzo de ésta, se han registrado un total de 26.024 direcciones IP únicas infectadas con este malware. El equipo de ESET ha facilitado un indicador de compromiso (IOC) para permitir identificar los sistemas comprometidos.

Se calcula que la botnet lleva en curso desde al menos 2011, habiendo afectado ya a multitud de compañías, entre ellas cPanel y kernel.org, de la fundación Linux (repositorio oficial de código fuente del núcleo). De igual manera, uno de los mirrors oficiales de CentOS también fue infectado con Linux/Ebury. En este caso, no hubo paquetes RPM aparentemente alterados durante el proceso de infección, teniendo en cuenta que éstos se encuentran firmados criptográficamente para prevenir posibles manipulaciones.

Funcionalidades

Para desarrollar un malware de estas características se requieren conocimientos elevados sobre programación y Sistemas Operativos, dado que se facilita la ejecución de código en distintas plataformas. Sus principales componentes son los siguientes:
 

  • Linux/Ebury: Una puerta trasera OpenSSH usada para mantener el control de los servidores y robar credenciales.
  • Linux/Cdorked: Incluye una puerta trasera, y también distribuye malware para usuarios de Windows mediante sitios Web infectados.
  • Linux/Onimiki: Otra puerta trasera utilizada para redirigir el tráfico Web, incluyendo un servidor DNS modificado que resuelve direcciones IP arbitrarias.
  • Perl/Calfbot: Script en Perl utilizado para el envío masivo de SPAM.
  • Win32/Boaxxe.G: Programa que genera clics automáticos.
  • Win32/Glubteta.M: Un proxy genérico que corre bajo sistemas Windows.

Sistemas afectados

 

 


Sistemas Operativos de usuarios víctimas de sitios Web que han incluido el kit de explotación. [ESET]


Entre las técnicas usadas, sus autores no han aprovechado vulnerabilidades en sistemas Linux o Unix, pero sí deficiencias conocidas para construir y mantener esta botnet. Es importante destacar la amplia gama de Sistemas Operativos que se han visto comprometidos por los atacantes, entre los cuales figuran Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (a través de la herramienta Cygwin) y Linux, incluyendo versiones de éste con arquitectura ARM. El módulo de envío de SPAM se ha podido ver en multitud de sistemas, mientras que la puerta trasera SSH tan solo ha afectado a servidores Linux y FreeBSD.

 

 

 

 


Longitud de las contraseñas SSH que han sido recolectadas por Windigo. [ESET]


Expansión y características más explotadas

Con relación a las múltiples campañas de SPAM, Windigo es responsable de enviar una media de 35 millones de mensajes diarios, afectando a más de 700 servidores Web, con el objetivo de redirigir a sus visitantes a contenido malicioso. Se calcula que se producen medio millón de visitas por día a servidores legítimos que han sido comprometidos, constando una explotación exitosa de aproximadamente el 1% de los equipos.

Una de de las principales formas en las que rentabilizan las actividades de Windigo se realiza a través de la redirección a sitios que muestran publicidad, al igual que mediante el envío de mensajes no solicitados; en los cuales se hace referencia a casinos, bonificaciones o citas online. La mayor parte de estos mensajes contienen palabras como “dar de baja” y “reportar”, posiblemente para evadir los filtros de SPAM. Si se siguen los enlaces incluidos, éstos llevarán a un sitio Web que muestra un mensaje de reporte o baja completada. Aun así, es altamente probable que estas peticiones sean registradas como correos electrónicos válidos para posteriores usos.

A continuación, los principales países con mayor número de usuarios y servidores infectados:

 

 

 

 


Conclusión

Como ya hemos visto, se está incrementando el número de amenazas sofisticadas que tienen como objetivo el ataque a distintas plataformas, por lo que en un futuro es más que probable que sigamos viendo malware de estas características y otras de mayor complejidad.