Un investigador de seguridad ruso, ha descubierto lo que podría ser la primera botnet basada en Linux. Este grupo de ordenadores infectados podría haber sido utilizado para operaciones de envío masivo de todo tipo malware.
Según el investigador de seguridad ruso Denis Sinegubko, descubridor de esta botnet, cada una de estas maquinas que forman la red de ordenadores infectados, es un servidor dedicado ejecutando un site web legítimo. Pero además de tener instalado Apache para alojar el contenido bueno, han sido hackeados para ejecutar un servidor conocido como nginx con el que sirven el malware.
La red descubierta es una botnet de al rededor de 100 ordenadores zombie, un grupo importante de servidores web infectados e implicados todos ellos en la distribución de malware, y con un centro de control común.
Un dato curioso, es que esta botnet está basada en Linux, lo que demuestra la continua evolución de los ciberdelincuentes, que tratan de buscar nuevas plataformas con las que infectar cientos o miles de ordenadores y ponerlos bajo su control.
Esta noticia ha llegado el mismo día en que Symantec ha anunciado que Google Groups, está siendo usado para la distribución de un troyano.
Volviendo al tema de la botnet, estas máquinas infectadas utilizan el puerto TCP 80 para servir el tráfico legítimo, mientras que el tráfico malicioso es enviado a través del puerto 8080. Estos servidores inyectan el código malicioso, mientras el usuario navega confiado por la la página web alojada en el servidor web infectado.
De momento se desconoce como los ciberdelincuentes han infectado los servidores, aunque se especula con que podrían pertenecer a administradores descuidados que no protegieron sus contraseñas de root. Otra de las posibilidades es que las contraseñas de acceso a los FTP, hayan sido robadas previamente con algún virus buscador de passwords e información confidencial.
La botnet estaba formada por cerca de 100 ordenadores y tras el descubrimiento, Denis Sinegubko advirtió del problema a DynDNS y No-IP, que eran los dos proveedores de alojamiento dinámico utilizado por los atacantes, por lo que ya se han cerrado los dominios utilizados para el ataque.
El hecho de que la botnet esté basada en Linux, no implica que infecte ordenadores que usen Linux, y es que el malware que distribuía estaba destinado a sistemas Windows.
fuente: gigle