إيبوري بوت نت

تسللت شبكة الروبوتات الضارة المسماة Ebury إلى حوالي 400000 خادم Linux منذ عام 2009، مع بقاء أكثر من 100000 خادم معرضًا للخطر حتى أواخر عام 2023. وقد تم التعرف على شبكة الروبوتات هذه من قبل خبراء الأمن السيبراني باعتبارها واحدة من حملات البرامج الضارة الأكثر تطورًا من جانب الخادم والتي تهدف إلى تحقيق مكاسب مالية.

وقد انخرطت الجهات الفاعلة التي تقف وراء Ebury في أنشطة مختلفة لتحقيق الدخل، مثل توزيع البريد العشوائي وإعادة توجيه حركة مرور الويب وسرقة بيانات الاعتماد. بالإضافة إلى ذلك، فإنهم متورطون في سرقة العملات المشفرة من خلال هجمات Man-in-the-Middle (MitM) وسرقة بطاقات الائتمان عبر اعتراض حركة مرور الشبكة، وهي تقنية يشار إليها عادة باسم القشط على الويب من جانب الخادم.

تم القبض على مجرمي الإنترنت وهم يقومون بتشغيل شبكة Ebury Botnet

ظهرت Ebury منذ أكثر من عشر سنوات خلال عملية Windigo، وهي حملة تهدف إلى اختراق خوادم Linux. نشرت هذه العملية Ebury جنبًا إلى جنب مع أدوات أخرى مثل Cdorked وCalfbot لإعادة توجيه حركة مرور الويب وإرسال البريد العشوائي. في أغسطس 2017، حُكم على مكسيم سيناخ، وهو مواطن روسي، بالسجن لمدة أربع سنوات تقريبًا في سجن أمريكي لتورطه في تطوير وصيانة شبكة الروبوتات إيبوري.

استخدم سيناخ ورفاقه شبكة الروبوتات Ebury للتلاعب بحركة المرور عبر الإنترنت لمختلف مخططات النقر الاحتيالية والبريد الإلكتروني العشوائي، وفقًا لوزارة العدل الأمريكية. وأدى ذلك إلى إيرادات احتيالية تصل إلى ملايين الدولارات. وكجزء من اعترافه، اعترف سيناخ بدعم المشروع الإجرامي من خلال إنشاء حسابات مع مسجلي النطاق لتوسيع البنية التحتية لشبكة الروبوتات الخاصة بـ Ebury واستفاد شخصيًا من حركة المرور الناتجة عنها.

الأجهزة المصابة بشبكة Ebury Botnet عبر العديد من المتجهات المختلفة

كشف تحقيق عن تكتيكات متعددة يستخدمها المهاجمون لتوزيع Ebury، بما في ذلك سرقة بيانات اعتماد SSH، وحشو بيانات الاعتماد، والتسلل إلى البنية التحتية لموفر الاستضافة، واستغلال نقاط الضعف مثل خلل لوحة التحكم على الويب CVE-2021-45467، وإجراء SSH man-in-the-middle ( MitM) الهجمات.

بالإضافة إلى ذلك، لوحظ أن الجهات الفاعلة في مجال التهديد تستخدم هويات مزيفة أو مسروقة لإخفاء أنشطتها. لقد قاموا باختراق البنية التحتية التي تستخدمها جهات فاعلة ضارة أخرى، ونشروا برنامج Ebury الضار لتحقيق أهدافهم وإرباك الجهود المبذولة لتعقبهم.

على سبيل المثال، قام المهاجمون باختراق الخوادم المسؤولة عن جمع البيانات من Vidar Stealer. واستخدموا الهويات المسروقة التي تم الحصول عليها من خلال Vidar Stealer لاستئجار البنية التحتية للخادم وتنفيذ الأنشطة، مما أدى إلى تضليل سلطات إنفاذ القانون عمدًا. وفي حالة أخرى، تم استخدام Ebury لاختراق نظام أحد مؤلفي شبكة Mirai botnet، والحصول على الكود قبل إصداره للعامة.

استخدم المهاجمون Ebury لتوصيل حمولات تهديد إضافية

تعمل البرمجيات الخبيثة بمثابة باب خلفي ولص بيانات اعتماد SSH، مما يمكّن المهاجمين من تقديم حمولات إضافية مثل HelimodSteal وHelimodProxy وHelimodRedirect، وبالتالي توسيع نطاق وصولهم داخل الشبكات المعرضة للخطر. أحدث إصدار من Ebury تم تحديده هو 1.8.2.

تهدف هذه الأدوات إلى تحقيق الدخل من الخوادم المخترقة من خلال وسائل مختلفة. تتضمن استراتيجيات تحقيق الدخل سرقة معلومات بطاقة الائتمان، وسرقة العملات المشفرة، وإعادة توجيه حركة المرور، ونشر البريد العشوائي، وسرقة بيانات الاعتماد.

تعمل HelimodSteal وHelimodRedirect وHelimodProxy كوحدات خادم HTTP لاعتراض طلبات HTTP POST، وإعادة توجيه حركة مرور HTTP إلى الإعلانات، وحركة مرور الوكيل لتوزيع البريد العشوائي. تستخدم المجموعة أيضًا وحدة kernel تسمى KernelRedirect، حيث تستخدم خطاف Netfilter لتعديل حركة مرور HTTP وتمكين إعادة التوجيه. تم تصميم HelimodSteal خصيصًا لالتقاط بيانات بطاقة الائتمان المقدمة إلى المتاجر عبر الإنترنت، حيث يعمل بمثابة كاشطة ويب من جانب الخادم لاستخراج هذه المعلومات الحساسة من الخوادم المصابة.

يستفيد المهاجمون أيضًا من البرامج لإخفاء والسماح بحركة المرور الضارة عبر جدران الحماية، جنبًا إلى جنب مع نصوص Perl، لشن هجمات وسيطة واسعة النطاق داخل مراكز بيانات موفري الاستضافة. إنهم يستهدفون الأصول القيمة لسرقة العملات المشفرة من المحافظ.