Ebury Botnet
Una botnet de programari maliciós anomenada Ebury s'ha infiltrat al voltant de 400.000 servidors Linux des del 2009, amb més de 100.000 servidors compromesos a finals de 2023. Aquesta botnet és reconeguda pels experts en ciberseguretat com una de les campanyes de programari maliciós del servidor més sofisticades destinades a obtenir beneficis financers.
Els actors que hi ha darrere d'Ebury han participat en diverses activitats de monetització, com ara la distribució de correu brossa, la redirecció del trànsit web i el robatori de credencials. A més, estan involucrats en el robatori de criptomoneda mitjançant atacs Man-in-the-Middle (MitM) i el robatori de targetes de crèdit mitjançant la intercepció del trànsit de la xarxa, una tècnica que es coneix habitualment com a rastreig web del servidor.
Taula de continguts
Els ciberdelinqüents van ser atrapats fent funcionar la botnet Ebury
Ebury va sorgir fa més de deu anys durant l'operació Windigo, una campanya destinada a comprometre els servidors Linux. Aquesta operació va desplegar Ebury juntament amb altres eines com Cdorked i Calfbot per redirigir el trànsit web i enviar correu brossa. L'agost de 2017, Maxim Senakh, un nacional rus, va ser condemnat a gairebé quatre anys a una presó dels Estats Units per la seva participació en el desenvolupament i manteniment de la botnet Ebury.
Segons el Departament de Justícia dels Estats Units, Senakh i els seus associats van utilitzar la botnet Ebury per manipular el trànsit d'Internet per a diversos esquemes de correu brossa i frau de clics. Això va donar lloc a ingressos fraudulents per valor de milions de dòlars. Com a part de la seva súplica, Senakh va confessar donar suport a l'empresa criminal creant comptes amb registradors de dominis per ampliar la infraestructura de botnet d'Ebury i es va beneficiar personalment del trànsit generat per ella.
Els dispositius infectats per Ebury Botnet mitjançant nombrosos vectors diferents
Una investigació ha revelat múltiples tàctiques emprades pels atacants per distribuir Ebury, com ara robar credencials SSH, farciment de credencials, infiltrar-se en la infraestructura del proveïdor d'allotjament, explotar vulnerabilitats com la fallada del tauler web de control CVE-2021-45467 i dur a terme SSH man-in-the-middle ( MitM) atacs.
A més, s'ha observat que els actors d'amenaça utilitzen identitats falses o robades per ocultar les seves activitats. Han compromès la infraestructura utilitzada per altres actors maliciosos, desplegant el programari maliciós Ebury per assolir els seus objectius i confondre els esforços per rastrejar-los.
Per exemple, els atacants van comprometre els servidors responsables de la recollida de dades de Vidar Stealer. Van utilitzar identitats robades adquirides a través de Vidar Stealer per llogar la infraestructura del servidor i dur a terme activitats, enganyant intencionadament les forces de l'ordre. En un altre cas, Ebury va ser utilitzat per violar el sistema d'un dels autors de botnet de Mirai , obtenint el codi abans del seu llançament públic.
Els atacants van utilitzar Ebury per lliurar càrregues útils addicionals amenaçadores
El programari maliciós funciona com a porta posterior i lladre de credencials SSH, permetent als atacants introduir càrregues útils addicionals com HelimodSteal, HelimodProxy i HelimodRedirect, ampliant així el seu abast dins de xarxes compromeses. La versió més recent d'Ebury identificada és la 1.8.2.
Aquestes eines estan orientades a monetitzar els servidors compromesos mitjançant diversos mitjans. Les estratègies de monetització inclouen el robatori d'informació de la targeta de crèdit, el robatori de criptomonedes, la redirecció de trànsit, la difusió de correu brossa i el robatori de credencials.
HelimodSteal, HelimodRedirect i HelimodProxy funcionen com a mòduls de servidor HTTP per interceptar les sol·licituds HTTP POST, redirigir el trànsit HTTP als anuncis i el trànsit intermediari per a la distribució de correu brossa. El grup també utilitza un mòdul del nucli anomenat KernelRedirect, que utilitza un ganxo Netfilter per modificar el trànsit HTTP i habilitar la redirecció. HelimodSteal està dissenyat específicament per capturar dades de targetes de crèdit enviades a les botigues en línia, actuant com un skimmer web del costat del servidor per extreure aquesta informació sensible dels servidors infectats.
Els atacants també aprofiten el programari per ocultar i permetre el trànsit maliciós a través de tallafocs, juntament amb scripts Perl, per a atacs a gran escala d'home-in-the-middle als centres de dades dels proveïdors d'allotjament. Apunten a actius valuosos per robar criptomoneda de les carteres.
