Retrospectiva: Operação Windigo

Retrospectiva: Operação Windigo

Neste post de hoje vamos voltar um pouco ao passado e lembrar algumas características da campanha do Windigo. Confira!

Neste post de hoje vamos voltar um pouco ao passado e lembrar algumas características da campanha do Windigo. Confira!

Para os leitores familiarizados com a mitologia, a palavra Windigo (ou Wendigo, em português) pode trazer à mente imagens de um fictício monstro carnívoro. No entanto, no mundo da cibersegurança, o termo refere-se a uma campanha de malware “que consome os recursos do servidor”, descoberta pelos experts da ESET em 2012. Esse nome foi escolhido devido a sua capacidade de “devorar” servidores e semear o terror entre as vítimas.

Neste post de hoje vamos voltar um pouco ao passado e lembrar algumas características dessa campanha. Confira!

Primeiro avistamento

O malware Windigo, detectado pela organização Linux Foundation pela primeira vez em 2011, conseguiu infiltrar-se em cerca de 25.000 servidores durante um período de dois anos (2012-2014), com uma quadrilha de criminosos por trás demonstrando um alto nível de expertise técnica.

Depois de receber a primeira amostra do Linux/Cdorked, enviada pela empresa de segurança Sucuri em março de 2013, a ESET lançou a Operação Windigo com o objetivo de analisar os métodos utilizados pelos atacantes, a extensão da infecção e os danos causados.

Isso resultou em um relatório detalhado sobre a campanha de malware e seu impacto em 2014. O documento tinha como objetivo sensibilizar aos usuários;através de uma análise aprofundada (como detalhes) sobre como detectar hosts infectados.

A pesquisa foi bem muito bem recebida pelo público e pela comunidade de segurança informática. De fato, até mesmo a equipe por trás do malware reconheceu a qualidade do estudo, tecendo um comentário na época: “Bom trabalho, ESET!”

Um inimigo astuto

A equipe por trás do Windigo não era amadora. Em primeiro lugar, a operação – que explora backdoors – usa uma versão modificada do programa OpenSSH, uma “alternativa de código aberto para o programa Secure Shell Software (SSH), que é um software proprietário”.

Além de infiltrar servidores, o grupo também é capaz de identificar usuários comuns dos administradores, selecionando as vítimas com base em sua atividade de administrador.

Além disso, os autores do malware demonstraram considerável experiência para evadir a detecção com diversas táticas, como por exemplo, atualizando os servidores infectados com um novo software para despistar os pesquisadores, ou criando uma nova versão do seu software de backdoor do DNS em junho de 2013 em resposta à criação de ferramentas de detecção lançadas apenas alguns meses antes, em abril de 2013.

Seguindo os rastros

Conforme mencionamos acima, a pesquisa realizada pela ESET revelou que a Operação Windigo estava em vigor desde pelo menos 2011, e já havia infectado a mais de 25.000 servidores únicos entre 2012-2014, em países como França, Itália, Rússia, México e Canadá.

Os servidores infectados foram usados ​​pelos atacantes para montar extensas campanhas de spam, roubar credenciais, redirecionar o tráfego da web para redes de publicidade e infectar os computadores de quem visitava as páginas.

A equipe de pesquisa também foi capaz de identificar um link entre “diferentes componentes maliciosos como Linux/Cdorked, Perl/Calfbot e Win32/Glupteba.M“, concluindo que “todos eram operados pelo mesmo grupo”.

Em comparação com outras campanhas de malware, o Windigo pode parecer um pouco pequeno. O relatório da ESET confirmou que o grupo tinha “o controle de mais de dez mil” servidores em 2014.

No entanto, é importante lembrar que ao infectar servidores que são “equipados com muito mais recursos em termos de largura de banda, armazenamento e potência de cálculo”, o malware tem um alcance muito maior do que se fosse simplesmente infectar computadores pessoais.

Na verdade, de acordo com a ESET, o grupo “pode ​​enviar mais de 35 milhões de mensagens de spam por dia“, usando essa infraestrutura.

Além disso, o malware foi capaz de se infiltrar em muitos sistemas operacionais diferentes, incluindo o Apple OS X, o OpenBSD, o FreeBSD, o Microsoft Windows (através do Cygwin) e o Linux. O malware também infectou grandes organizações, como cPanel e Linux Foundation.

Métodos para tentar se esconder

Além disso, para evitar que fossem detectados, a quadrilha responsável pela operação suspendia suas atividades maliciosas sempre que sentiam que estavam correndo o risco de ser descoberta.

A ESET também observou que os autores do malware matinham a tendência de atacar sites pequenos, particularmente páginas de pornografia, no lugar de servidores mais importantes, considerando que possuem um grande alcance com bem menos medidas de segurança. Além disso, os operadores eram capazes de maximizar os recursos do servidor, considerando que executam diferentes atividades de acordo com o nível de acesso obtido.

Desta forma, a quadrilha era capaz de causar estragos com o malware, enquanto se mantém um passo à frente das autoridades e dos especialistas em segurança da informática.

Como forma de pesquisar e combater os atacantes, a ESET uniu forças com várias organizações internacionais durante a sua operação, incluindo o CERT-Bund, a Oganização Nacional Sueca de Informática e a Organização Europeia para a Pesquisa Nuclear (CERN). Graças a essa colaboração, os membros do grupo foram capazes de notificar os infectados às pessoas afetadas, ajudando-as com a desinfecção.

O monstro continua vivo

Como ocorre com muitas ameaças de malware, a identificação do problema não é uma solução em si, e, como o malware usado pela Operação Windigo continua evoluindo, é imperativo que os administradores façam tudo o que podem para evitar a infiltração.

Desde a publicação do relatório em 2014, a ESET continuou em sua luta para combater e proteger aos usuários contra o malware Linux/Windigo, assim como contra outras ameaças. 

Discussão