Una raccolta di malware sviluppata per creare una sofisticata rete di botnet in grado di distribuire spam, reindirizzare il traffico Web e infettare i computer degli utenti con malware, il tutto mantenendo segreta la posizione dei criminali informatici che perpetrano gli attacchi.
Si ritiene che l'operazione Windigo sia cresciuta dietro le quinte negli ultimi tre anni. Ha attirato l'attenzione del pubblico nel marzo 2014, quando la società di sicurezza software ESET ha rivelato di essere responsabile della compromissione di oltre 25,000 server Linux. A un certo punto durante questo periodo la rete Windigo inviava 35 milioni di messaggi di spam al giorno e reindirizzava più di 500,000 visitatori Web a kit di exploit ogni giorno, secondo ESET.
L'operazione Windigo si basa principalmente su due backdoor Linux, Linux / Ebury e Linux / Cdorked, per rubare le credenziali di accesso, compromettere i server Web e reindirizzare il traffico. Notevoli vittime dell'operazione Windigo hanno incluso cPanel, una popolare piattaforma del pannello di controllo dell'hosting web e kernel.org.
Come identificare e pulire un sistema compromesso da Windigo
I ricercatori ESET hanno soprannominato la rete Windigo come una mitica creatura cannibale del folklore dei nativi americani algonchini. L'azienda di sicurezza consiglia agli amministratori e ai webmaster di eseguire il seguente comando per identificare se il loro server è stato compromesso dall'operazione Windigo:
$ ssh -G 2> & 1 | grep -e illegale -e sconosciuto> / dev / null && echo Sistema pulito || echo Sistema infetto
I server infettati dall'operazione Windigo devono essere completamente puliti e devono essere reinstallati il sistema operativo e le applicazioni. È necessario creare password univoche e chiavi private per l'accesso futuro a un sistema precedentemente infetto al fine di evitare che il server venga nuovamente compromesso.