Desde el año pasado venimos publicando información sobre códigos maliciosos que afectan Linux. Tal es el caso de Linux/Ebury un backdoor OpenSSH utilizado para controlar los servidores y robar credenciales y Linux/Cdorked un backdoor HTTP utilizado para redirigir el tráfico Web. Sin embargo, después de una muy importante investigación desarrollada por el Laboratorio de Investigación de ESET, en colaboración con CERT-Bund (Swedish National Infrastructure for Computing) y otros organismos, se pudo determinar que ambos casos están relacionados y pertenecen a una campaña de infección denominada Windigo.

Con esta campaña los atacantes lograron infectar miles de servidores Linux y Unix, los cuales una vez comprometidos son usados para robar credenciales SSH, para redirigir a quienes visitan los sitios web a contenido malicioso y para enviar spam.

Esta operación ha afectado servidores y empresas de alto perfil, entre las que se incluyen cPanel (la empresa tras el famoso panel de control de hosting de sitios Web) y kernel.org de la Fundación Linux (el repositorio principal de código fuente para el núcleo de Linux.

De acuerdo con nuestro análisis, más de 25.000 servidores se han visto afectados en los últimos dos años, de los cuales más de 10.000 aún están infectados. Si bien la cantidad de equipos afectados no está cerca de los millones que puede afectar un código malicioso en Windows, es importante tener en cuenta que esta cantidad es muy significativa si se tiene presente que cada uno de estos sistemas tienen acceso a ancho de banda considerable, almacenamiento, potencia de cálculo y la memoria. En América Latina, los reportes indican aproximadamente 900 servidores infectados en Brasil, más de 250 en Argentina y 300 en México.

Se ha calculado que Windigo es responsable de enviar un promedio de 35 millones de mensajes de spam diarios y cada día más de medio millón de visitantes de sitios web legítimos alojados en servidores afectados son redirigidos a un paquete de exploits.

En la investigación se contó con la participación de diversas organizaciones internacionales, entre ellas el CERT-Bund, la Infraestructura Nacional Sueca para la Informática , la Organización Europea para la Investigación Nuclear (CERN) entre otros. Con la ayuda de todo el grupo de trabajo, miles de víctimas han sido advertidas sobre la infección de sus servidores, en un esfuerzo por limpiar tantos sistemas como sea posible.

Como resultado de la investigación ponemos a disposición de nuestros lectores un artículo en español con la descripción de la operación Windigo sus escenarios de infección, la forma en que trabaja y la manera de identificar si los servidores están comprometidos. Además tenemos un completo artículo con todo el detalle técnicos de las diferentes amenazas involucradas en Windigo.

Todo este análisis forma parte de una operación que aún está en curso. Esperamos que les resulte útil y cualquier novedad que aparezca al respecto la estaremos comunicando. Estén atentos.