Een verzameling malware die is ontwikkeld om een geavanceerd netwerk van botnets te creëren dat spam kan verspreiden, webverkeer kan omleiden en de computers van gebruikers kan infecteren met malware, terwijl de locatie van de cybercriminelen die de aanvallen plegen geheim blijft.
Operatie Windigo is de afgelopen drie jaar achter de schermen gegroeid. Het kreeg publieke aandacht in maart 2014, toen softwarebeveiligingsbedrijf ESET onthulde dat het verantwoordelijk was voor het compromitteren van meer dan 25,000 Linux-servers. Volgens ESET verstuurde het Windigo-netwerk op een bepaald moment 35 miljoen dagelijkse spamberichten en stuurde het dagelijks meer dan 500,000 webbezoekers om naar exploitskits.
Operatie Windigo is voornamelijk afhankelijk van twee Linux-backdoors, Linux / Ebury en Linux / Cdorked, om inloggegevens te stelen, webservers in gevaar te brengen en verkeer om te leiden. Bekende slachtoffers van Operatie Windigo zijn onder meer cPanel, een populair platform voor webhostingcontrolepanelen, en kernel.org.
Een systeem dat door Windigo is gecompromitteerd identificeren en opschonen
ESET-onderzoekers noemden het netwerk Windigo, naar een mythisch kannibalistisch wezen uit de Algonquian Native American folklore. Het beveiligingsbedrijf raadt beheerders en webmasters aan om de volgende opdracht uit te voeren om te bepalen of hun server is gecompromitteerd door Operation Windigo:
$ ssh -G 2> & 1 | grep -e illegaal -e onbekend> / dev / null && echo Systeem schoon || echo Systeem geïnfecteerd
Servers die zijn geïnfecteerd door Operation Windigo, moeten volledig worden schoongeveegd en het besturingssysteem en de applicaties moeten opnieuw worden geïnstalleerd. Er moeten unieke wachtwoorden en privésleutels worden gemaakt voor toekomstige toegang tot een eerder geïnfecteerd systeem om te voorkomen dat de server opnieuw wordt aangetast.