Linuxサーバーを狙った一連の攻撃活動「Operation Windigo」が話題になっている。スロバキアのイーセットは昨年来、調査を実施。その結果の概要をブログで発表した。
Operation Windigoを展開する犯罪者グループは、乗っ取ったシステムを使って重要情報を盗み、Webトラフィックを不正コンテンツに誘導し、スパムメッセージを送信する。2011年以降、2万5000台以上のサーバーが被害を受け、そのうち1万台以上がいまだにハッキングされた状態にあるという。これらサーバーはすべて、重要情報を盗み出そうとするOpenSSHバックドア「Linux/Ebury」に感染した。cPanelやkernel.orgといった著名な組織も攻撃を受けたが、現在はすでにマルウエアを除去している。
マルウエアに感染したサーバーは、1日あたり50万人ものサイト訪問者を不正コンテンツにリダイレクトするのに使われる。イーセットによれば、攻撃者は1日に3500万通以上のスパムメッセージを送信可能という。対象となるOSには、Linux、FreeBSD、OpenBSD、OS X、Windows(Cygwin環境でPerlを実行)が含まれる。
イーセットは調査の過程で、情報セキュリティ政策の中核機関であるCERT-Bund、スウェーデンのSwedish National Infrastructure for Computing、欧州原子核研究機構(CERN)といった国際組織と連携し、多数の犠牲者にサーバーが感染していることを知らせ、マルウエア除去を促した。
イーセットは、システム管理者やネットワーク運用者に広範なガイダンスを提供したいとして、Operation Windigoの詳細な調査結果をまとめたホワイトペーパー(PDF文書)を公開している。