Opération Windigo : annihiler le démon en renforçant la protection des comptes à privilèges

L’éditeur de solutions de sécurité ESET a récemment mis en lumière les résultats de « l’opération Windigo », un rapport sur le malware sophistiqué qui aurait détourné plus de 25 000 serveurs Unix/Linux depuis 2011.

Ces serveurs sont utilisés afin de diffuser du spam, d’infecter les ordinateurs des internautes par téléchargement « drive-by » et de rediriger le trafic web vers des contenus publicitaires compromis.
Ce malware aurait redirigé les utilisateurs vers des contenus malveillants via près de 700 serveurs et il serait à l’origine d’environ 35 millions de messages spam quotidiens. Au total 110 pays auraient été victimes de ce malware sur les 3 dernières années. La France se positionne à la troisième place avec 1 431 attaques recensées derrière l’Allemagne (2 489) et les Etats-Unis (10 065) sur un total de 26 024 infections.
Ce qui est particulièrement intéressant avec Windigo, c’est l’usage exclusif d’identifiants dérobés sans en exploiter – semble-t-il – les vulnérabilités. D’après ESET, les attaquants ont ciblé les utilisateurs d’identifiants SSH pour étendre leur opération et infecter des serveurs complémentaires. Ces identifiants ont été interceptés à plusieurs endroits au moment de l’utilisation, soit lors de la connexion par l’utilisateur sur un serveur infecté ou lors de l’utilisation d’un serveur compromis pour se connecter à un autre système.

Les comptes à privilèges : le cœur de l’attaque sophistiquée

Une fois les identifiants récupérés par les attaquants, ils ont pu tester leurs niveaux d’accès à privilèges et procéder ainsi aux attaques. Les recherches d’ESET ont démontré que 42 % des identifiants volés avaient des privilèges. Ces derniers permettent non seulement au hacker d’accéder au terminal impacté, mais également de mettre en place des backdoors supplémentaires et ce en effaçant tout fichier et historique de leurs activités.
Il s’agit là encore de l’exemple le plus récent qui démontre que les comptes à privilèges et d’administration sont la priorité numéro un des hackers lorsqu’ils attaquent une organisation. Le vol et l’exploitation de ces identifiants leur permet ainsi de prendre le contrôle de l’infrastructure d’une entreprise afin de l’attaquer de l’intérieur. C’est pourquoi le détournement et l’utilisation des comptes à privilèges sont au cœur de chaque attaque avancée.

Plus de 60 % des sites internet mondiaux utilisent des serveurs Linux

Il s’agit d’une attaque critique que les administrateurs système et les webmasters doivent prendre au sérieux – tout utilisateur de serveurs Linux devrait vérifier qu’il n’a pas été infecté. Afin d’éviter les attaques de cette nature, les accès administratifs devraient toujours être isolés des serveurs et terminaux cibles, acheminer tout trafic administratif via un serveur de rebond, qui servira de point de contrôle unique pour empêcher les hackers d’outrepasser la protection des comptes à privilèges.

---------------------
* Source : Dans la langue des Algonquins – une des premières civilisations autochtone d'Amérique du Nord – le mot Windigo se réfère à une créature démoniaque qui se transforme d’humain en bête après avoir mangé de la chair humaine. A l’image de Windigo, un hacker cannibalise des milliers de serveurs et transforme des sources d’informations légitimes en une vaste infrastructure à des fins malveillantes.