Tal como reveló la investigación llevada adelante por ESET junto a diversos organismos, Operación Windigo fue una campaña con la que atacantes lograron infectar miles de servidores Linux y Unix. Una vez comprometidos, son usados para robar credenciales SSH, para redirigir a quienes visitan los sitios web a contenido malicioso y para enviar spam.
En la mayoría de los casos, las víctimas ni siquiera sabían que habían sido infectadas. Aún hoy, ESET sigue bloqueando miles de redirecciones de servidores infectados, y esta investigación ha mostrado una nueva cara del cibercrimen.
Los investigadores de ESET han ayudado a muchas compañías a identificar y neutralizar la infección. Entre ellas, se encuentra la de Francois Gagnon, quien nos cuenta desde su perspectiva cómo se vivió la amenaza que afectó a más de 500.000 computadoras.
¿Estaban al tanto de que este tipo de ataque era posible?
Como sucede en gran cantidad de compañías de nuestro tamaño, sabíamos que los cibercriminales estaban monitoreándonos, pero nunca habíamos sido blancos de un ataque. Por empezar, no nos dimos cuenta de lo que era. No fue algo ofensivo, estaba ejecutándose silenciosamente. Nada colapsó ni pasó nada. Yo pienso que ese es el motivo por el cual había infectado tantos servidores antes de que todos empezaran a reaccionar.
¿Les sorprendió la naturaleza del ataque?
Una de las primeras cosas que aprendes en cualquier compañía de tecnología es que todo es posible. Pero desde el principio supimos que Windigo era algo diferente. Era sutil. Nadie robó nuestra base de datos –lo primero que escuchamos fue que hubo comportamientos sospechosos como redirecciones en algunos sitios web, mencionados por algunos clientes.
¿Cuándo se dieron cuenta de que algo grave estaba ocurriendo?
Descubrimos que algunos de nuestros servidores estaban en Email Blacklist, utilizado para encontrar spammers, porque sabíamos que nuestro sistema había enviado spam. Nuestros clientes también mencionaron que algunos de nuestros sitios (tenemos dos mil) estaban redireccionando a los usuarios arbitrariamente. Fue gracias a los reclamos que nos dimos cuenta de que algo andaba mal.
¿Cuánto les tomó caer en la cuenta de que eran una víctima de Windigo?
Supongo que habíamos sido infectados algunas semanas antes de que nos diéramos cuenta qué estaba ocurriendo. Aceleramos nuestra investigación y descubrimos que gran parte de los servidores habían sido infectados después de que abriéramos tickets con cPanel. Lo que sucedió fue que sus servidores, víctimas anteriores, infectaron los nuestros a través de las conexiones SSH.
¿Cómo reaccionaron? ¿Temieron que su empresa esté bajo amenaza?
Pasamos rápidamente de no estar preocupados a estar extremadamente preocupados por que se tratara de una amenaza avanzada, dirigida específicamente a nosotros, ya que manejamos una docena de servidores y dos mil sitios. Pero entendimos que muchas otras empresas estaban atravesando los mismos problemas, y mucha gente estaba hablando de estos extraños comportamientos en diversos foros.
¿Por qué fueron blanco de ataque?
Eso es fácil. Tenemos muchos servidores, y muchos clientes en Francia y Canadá.
¿Cuáles son sus reflexiones respecto a la banda detrás de esto y las compañías que todavía están en problemas?
Este ataque fue grande. Muchas compañías que se dedican al alojamiento de sitios habían sido infectadas y ni siquiera sabían de qué se trataba. cPanel le dijo a todos sus clientes que reinstalaran, y esa fue toda la ayuda que obtuvimos.
¿Trabajaron de cerca con investigadores?
Fuimos rápidamente contactados por ESET, quien nos informó acerca de la magnitud de la infección y comenzó a trabajar de cerca con nosotros. Limpiamos los servidores infectados y dejamos algunos intactos para la posterior investigación. Además, seguimos el consejo de reinstalar las aplicaciones.
*Siguiendo su pedido, We Live Security no utilizó el nombre verdadero del entrevistado.
La entrevista completa se encuentra en We Live Security.
