Kun en tåbe frygter ikke Operation Windigo

Mere end 25.000 webservere er berørt af det såkaldte Operation Windigo-angreb. Dagligt inficerer Operation Wndigo over 500.000 computere, der stjæler dine personlige informationer. ESET forklarer Alt om DATA om truslen.

Artikel top billede

(Foto: Computerworld)

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Siden 2011 har cyberkriminelle kørt en omfattende operation, som forskere nu kalder for Windigo. Mere end 25.000 Unix-severe er blevet berørt, og over 500.000 computere er dagligt blevet angrebet. De kompromitterede servere bliver brugt til at stjæle SSH-detaljer til at sende besøgende over til sites med ondsindet kode, og de inficerede pc’er bruges til at udsende spam.

Forskere fra ESET har arbejdet sammen med CERT-Bund, Swedish National Infrastructure for Computer (SNIC) og andre organisationer, og selvom banden bag Windigo endnu ikke er fanget eller stoppet, ved vi nu, hvordan anatomien bag angrebet er, forklarer Anders Nilsson, sikkerhedsspecialist fra ESET Norden.

Vores analyse af Windigo viser samtidig, at de folk, der står bag angrebet, besidder et betragteligt kendskab til webservere, operativsystemer og programmering – ellers ville det ikke have været muligt for dem at udvikle og udbrede Windigo i det omfang, det er sket. Den Ebury-backdoor, der bliver brugt af Operation Windigo, udnytter ikke sårbarheder i Linux eller OpenSSH. I stedet bliver den manuelt installeret af en ondsindet angriber.

At organisationen har været i stand til at gøre det på titusindvis af forskellige servere, er skræmmende. Mens antivirus og tofaktor-autentifikation er almindeligt på standard computere, bliver det meget sjældent brugt til at beskytte servere, hvilket gør dem sårbare over for identitetstyveri og til lette mål for at udbrede malware.

Det er de gamle sårbarheder, der bruges

Det, der er så skræmmende i Windigo, er, at den ikke bruger nye sårbarheder. Den baserer sig udelukkende på kendte sårbarheder i webservere, hvilket viser, hvor vigtigt det er at patche sine systemer hele tiden. I næsten tre år fløj Windigo under radaren hos sikkerhedseksperterne og samlede styrke. På det tidspunkt, hvor vi begyndte at lægge mærke til Windigo, havde de cyberkriminelle allerede over 10.000 servere under deres kontrol.

Hos ESET blev vi overraskede over, hvor kompleks operationen var, da vi for alvor begyndte at interessere os for Windigo. Det viste sig, at over 25.000 Unix-servere var inficerede af Windigo, da vi endelig fik afdækket omfanget. Det, vi fik afdækket, var en kompleks knude af sofistikerede malware-komponenter, der er designet til at kapre servere, inficere de computere, der besøger dem, og til at stjæle information. Nogle af dem, der er ofre for ’Operation Windigo’, inkluderer cPanel, der står bag det berømte webhosting-kontrolpanel og kernel.org, der er det vigtigste sted for kode til Linux-kernen.

Windigo er også skyld i, at over 35 millioner spambeskeder hver eneste dag bliver sendt til sagesløse folks konti, hvilket blokerer indboksen og bringer computerne i fare. Men hvad værre er, så bliver over en halv million computere dagligt udsat for infektionsrisici, når de bliver sendt til websteder, der er inficeret med server-malware placeret af Operation Windigo.

60 pct. af verdens servere i farezonen

Hvor Windigo-inficerede websteder forsøger at inficere besøgende Windows-computere med malware med et exploit kit, så vil Mac-brugere typisk få serveret annoncer for datingsider, og iPhone-brugere bliver sendt over til websteder, der har pornografisk indhold. Med over 25.000 webservere inficeret er der en god chance for, at vi alle kommer forbi en server påvirket af Windigo, ikke mindst når vi tager i betragtning, at over 60 pct. af verdens webservere kører på Linux-servere.

Derfor opfordrer vi webmastere og systemadministratorer til at tjekke deres systemer for at se, om de skulle være blevet kompromitterede. At tjekke om en server er inficeret med Windigo, er en ret let opgave. Den følgende kommando skal blot afvikles, og så dukker der hurtigt en besked op om, hvorvidt systemet er inficeret eller ej:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo ”System clean” || echo ”System infected”

Det er en langt mere alvorlig opgave, der venter webmasteren, hvis han opdager, at hans system er inficeret med Windigo. Så er der nemlig kun én ansvarlig vej at gå; nemlig at hele systemet og alle inficerede computere bør renses totalt, og operativsystemet og software skal geninstalleres. Det er samtidig vigtigt at bruge friske passwords og private nøgler, da de eksisterende oplysninger må betragtes som kompromitterede. Samtidig skal alle brugere på systemet mindes om ikke at genbruge passwords eller vælge passwords, der er lette at gætte.

Naturligvis er det en alvorlig opgave at slette dine servere og starte helt forfra, men hvis en cyberkriminel har stjålet eller knækket dine administratorrettigheder og dermed har haft adgang til dine servere, kan du ikke løbe nogen risiko. På bare én enkelt weekend har ESET observeret mere end 1,1 million forskellige ip-adresser gå igennem dele af Windigos infrastruktur, før de bliver sendt over til servere, der indeholder malware, der forsøger at udnytte den besøgende computer.

• Over 25.000 unikke servere er blevet kompromitteret i de sidste 2 år

• En bred vifte af systemer er blevet kompromitteret af angriberne: Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (gennem Cygwin) og Linux herunder Linux på ARM-arkitekturen

• Spam-udsendelsesmodulet er set på alle operativsystemer, mens SSH-bagdøren både er fundet på Linux og FreeBSD-servere

• Succesraten af at udnytte besøgende computere er ca. 1 procent

• Gruppen bag Windigo vil hellere stoppe ondsindede aktiviteter fremfor at blive opdaget

• Gruppen maksimerer brugen af serverressourcer ved at køre forskellig malware og aktiviteter afhængig af niveauet af adgang de har

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS

    TDC Erhverv har pr. 1. maj 2026 ansat Peter Bjerregaard Harden som Senior Vice President (SVP), Enterprise Sales. Peter skal især beskæftige sig med at drive transformationen mod at blive en førende, kundecentreret partner inden for Cloud, Cyber og integrerede ICT-løsninger. Peter kommer fra en stilling som Country Manager hos Google Cloud Danmark. Peter er uddannet Cand. Merc (AU), HD, Organisation og Ledelse (CBS), Bestyrelsesuddannelse (CBS). Peter har tidligere beskæftiget sig med at opbygge Google Cloud i Danmark samt roller hos Microsoft, Salesforce og i management consulting. Nyt job