Cílem Operace Windigo byly servery s operačním systémem Linux, které představují 60 procent ze všech internetových serverů. Klíčovou komponentou útoku je trojan Linux/Ebury, který byl odhalen již v roce 2011. Ovládnutí serverů však nebylo založeno na zneužití nějaké bezpečnostní díry v systému. Útoky spočívaly ve zneužití přístupových oprávnění administrátorů, která se se útočníkům podařilo získat. „Je zatím záhadou, jak se mohlo podařit získat přístupové údaje v tak masivním měřítku, a jak je možné, že tato operace zůstala tak dlouho bez povšimnutí,“ říká Šnajdr. „V každém případě je ale jasné, že pouhé heslo – jakkoli složité a třeba i často obměňované – k zabezpečené serveru prostě nestačí. Jednoznačně je potřeba spolehlivější ochrana v podobě dvoufaktorové autentizace,“ dodává Šnajdr.

Ovládané servery slouží především k rozesílání spamu – aktuálně je to 35 miliónu nevyžádaných zpráv denně. Jejich další využití závisí na operačním systému počítače, který k danému serveru přistupuje. V případě platformy Windows se servery snaží hledat díry v zabezpečení a implantovat do počítače malware. Každý den to infikované servery zkoušejí na půl milionu počítačů. Úspěšnost se podle expertů z laboratoří společnosti Eset pohybuje okolo jednoho procenta. 

V případě platformy MAC nebo iOS servery přesměrovávají návštěvníky na internetové seznamky nebo pornografické stránky. „Síť ovládaných serverů by nejspíš bylo možné zneužít k cílenému zahlcování počítačů, tedy k takzvaným DDoS útokům. Naštěstí zatím nejsou známky, že by se tak dělo, ale je to o důvod víc, aby správci serverů dbali na zabezpečení,“ varuje Šnajdr. Kontrola, zde server není ovládán útočníky v rámci Operace Windigo není složitá. Stačí jednoduchý dotaz do systému; postup je, spolu s dalšími technickými informacemi, k nalezení na welivesecurity.com/windigo. V případě, že server je infikován, je podle Esetu jediným rozumným řešením jeho kompletní reinstalace.