Eine Sammlung von Malware, die entwickelt wurde, um ein ausgeklügeltes Netzwerk von Botnetzen zu erstellen, das Spam verbreiten, den Webverkehr umleiten und die Computer der Benutzer mit Malware infizieren kann, während der Standort der Cyberkriminellen, die die Angriffe verüben, geheim gehalten wird.
Es wird angenommen, dass die Operation Windigo in den letzten drei Jahren hinter den Kulissen gewachsen ist. Es erlangte im März 2014 öffentliche Aufmerksamkeit, als das Software-Sicherheitsunternehmen ESET bekannt gab, dass es für die Kompromittierung von mehr als 25,000 Linux-Servern verantwortlich ist. Zu einem Zeitpunkt in dieser Zeit sendete das Windigo-Netzwerk laut ESET täglich 35 Millionen Spam-Nachrichten und leitete täglich mehr als 500,000 Webbesucher zu Exploit-Kits um.
Operation Windigo verwendet hauptsächlich zwei Linux-Backdoors, Linux / Ebury und Linux / Cdorked, um Anmeldeinformationen zu stehlen, Webserver zu gefährden und den Datenverkehr umzuleiten. Zu den bemerkenswerten Opfern der Operation Windigo gehörten cPanel, eine beliebte Webhosting-Control-Panel-Plattform, und kernel.org.
So identifizieren und reinigen Sie ein von Windigo gefährdetes System
ESET-Forscher nannten das Netzwerk Windigo eine mythische kannibalische Kreatur der algonquianischen Folklore der amerikanischen Ureinwohner. Die Sicherheitsfirma empfiehlt Administratoren und Webmastern, den folgenden Befehl auszuführen, um festzustellen, ob ihr Server durch Operation Windigo kompromittiert wurde:
$ ssh -G 2> & 1 | grep -e illegal -e unbekannt> / dev / null && echo System sauber || Echosystem infiziert
Von Operation Windigo infizierte Server sollten vollständig gelöscht und das Betriebssystem und die Anwendungen neu installiert werden. Für den zukünftigen Zugriff auf ein zuvor infiziertes System müssen eindeutige Kennwörter und private Schlüssel erstellt werden, um zu verhindern, dass der Server erneut gefährdet wird.