Unix es mucho más seguro que otros sistemas como Windows. Esa afirmación es cierta aunque no significa que un sistema operativo Unix sea blindado y seguro al 100%. Como todos los sistemas operativos, Unix también tiene varias vulnerabilidades que pueden hacer que, con un correcto ataque, sea secuestrado por un grupo de piratas informáticos de forma similar a como ha ocurrido en esta ocasión.
La conocida empresa de seguridad ESET, junto a otras compañías de seguridad, ha descubierto una campaña que puede ser considerada como uno de los mayores ataques contra los sistemas operativos Unix: Operation Windingo. Un grupo de piratas informáticos, aún sin reconocer, ha estado trabajando durante más de 2 años y medio en la sombra secuestrando servidores Unix, inféctándolos con malware y utilizándolos para realizar ataques contra diferentes grupos de usuarios de forma automática.
En estos 2 años y medio que el grupo lleva trabajando han conseguido evitar levantar sospechas de los investigadores de seguridad que, ahora que lo han descubierto, se han dado cuenta de que el grupo tiene en su poder más de 25.000 servidores controlados por ellos que, día a día, buscan posibles formas de atacar e infectar los ordenadores de los usuarios conectados a internet.
Cada día se emiten más de medio millón de ataques contra los usuarios de internet desde estos usuarios. Cuando un usuario entra en un servidor web infectado con el malware de la Operación Windingo, este descarga sin saberlo varias herramientas maliciosas como troyanos, puertas traseras y exploits que los piratas usan para atacar los sistemas. También, estos servidores son utilizados para enviar cada día más de 35.000 mensajes de correo electrónico no deseado con diferentes herramientas de malware que, a parte de saturar las bandejas de los usuarios, los infectará con exploits, puertas traseras y aplicaciones publicitarias.
Si tenemos un servidor web con Unix debemos comprobar si estamos infectados tecleando la siguiente línea en nuestro terminal:
- ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Esto devolverá un «System clean» en caso de que el sistema no esté infectado y no esté secuestrado por los piratas informáticos de Operation Windingo o un «System infected» en caso de que sí lo esté.
De estar infectados, la mejor forma de evitar que sigan utilizando nuestro servidor es haciendo copia de seguridad de nuestros datos, formateando el disco duro completo y volviendo a instalar todo de nuevo evitando volver a ser infectados.
¿Qué opinas sobre la operación Windingo? ¿Qué piensas sobre la seguridad de los sistemas Unix?
Fuente y más datos sobre este ataque en: welivesecurity