Ebury Botnet
Ένα botnet κακόβουλου λογισμικού που ονομάζεται Ebury έχει διεισδύσει σε περίπου 400.000 διακομιστές Linux από το 2009, με περισσότερους από 100.000 διακομιστές να παραμένουν σε κίνδυνο από τα τέλη του 2023. Αυτό το botnet αναγνωρίζεται από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο ως ένα από τα πιο εξελιγμένα καμπάνιες κακόβουλου λογισμικού από την πλευρά του διακομιστή.
Οι ηθοποιοί πίσω από το Ebury έχουν συμμετάσχει σε διάφορες δραστηριότητες δημιουργίας εσόδων, όπως η διανομή ανεπιθύμητων μηνυμάτων, η ανακατεύθυνση της κυκλοφορίας στον Ιστό και η κλοπή διαπιστευτηρίων. Επιπλέον, εμπλέκονται σε κλοπή κρυπτονομισμάτων μέσω επιθέσεων Man-in-the-Middle (MitM) και κλοπής πιστωτικών καρτών μέσω υποκλοπής κίνησης δικτύου, μια τεχνική που συνήθως αναφέρεται ως web skimming από τον διακομιστή.
Πίνακας περιεχομένων
Οι εγκληματίες του κυβερνοχώρου πιάστηκαν να χειρίζονται το Ebury Botnet
Το Ebury εμφανίστηκε πριν από πάνω από δέκα χρόνια κατά τη διάρκεια της Operation Windigo, μιας καμπάνιας που στόχευε στον συμβιβασμό των διακομιστών Linux. Αυτή η λειτουργία ανέπτυξε το Ebury μαζί με άλλα εργαλεία όπως το Cdorked και το Calfbot για να ανακατευθύνει την κυκλοφορία ιστού και να στείλει ανεπιθύμητα μηνύματα. Τον Αύγουστο του 2017, ο Maxim Senakh, Ρώσος υπήκοος, καταδικάστηκε σε σχεδόν τέσσερα χρόνια φυλάκισης στις ΗΠΑ για τη συμμετοχή του στην ανάπτυξη και συντήρηση του botnet Ebury.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, ο Senakh και οι συνεργάτες του χρησιμοποίησαν το botnet Ebury για να χειριστούν την κυκλοφορία στο Διαδίκτυο για διάφορα προγράμματα απάτης και ανεπιθύμητης αλληλογραφίας. Αυτό είχε ως αποτέλεσμα δόλια έσοδα ύψους εκατομμυρίων δολαρίων. Ως μέρος της έκκλησής του, ο Senakh ομολόγησε ότι υποστήριξε την εγκληματική επιχείρηση δημιουργώντας λογαριασμούς με καταχωρητές τομέων για να επεκτείνει την υποδομή botnet Ebury και επωφελήθηκε προσωπικά από την κίνηση που παράγεται από αυτό.
Οι μολυσμένες συσκευές Ebury Botnet μέσω πολυάριθμων διαφορετικών φορέων
Μια έρευνα αποκάλυψε πολλαπλές τακτικές που χρησιμοποιούν οι εισβολείς για τη διανομή του Ebury, συμπεριλαμβανομένης της κλοπής διαπιστευτηρίων SSH, της γέμισης διαπιστευτηρίων, της διείσδυσης στην υποδομή παρόχου φιλοξενίας, της εκμετάλλευσης τρωτών σημείων όπως το ελάττωμα του Πίνακα Ελέγχου Ιστού CVE-2021-45467 και της διεξαγωγής SSH man-in-the-middle ( MitM) επιθέσεις.
Επιπρόσθετα, έχουν παρατηρηθεί παράγοντες απειλών να χρησιμοποιούν πλαστές ή κλεμμένες ταυτότητες για να κρύψουν τις δραστηριότητές τους. Έχουν υπονομεύσει την υποδομή που χρησιμοποιείται από άλλους κακόβουλους παράγοντες, αναπτύσσοντας το κακόβουλο λογισμικό Ebury για να επιτύχουν τους στόχους τους και συγχέοντας τις προσπάθειες για τον εντοπισμό τους.
Για παράδειγμα, οι εισβολείς παραβίασαν διακομιστές που είναι υπεύθυνοι για τη συλλογή δεδομένων από το Vidar Stealer. Χρησιμοποίησαν κλεμμένες ταυτότητες που αποκτήθηκαν μέσω της Vidar Stealer για να νοικιάσουν υποδομές διακομιστή και να πραγματοποιήσουν δραστηριότητες, παραπλανώντας σκόπιμα τις αρχές επιβολής του νόμου. Σε άλλη περίπτωση, το Ebury χρησιμοποιήθηκε για να παραβιάσει το σύστημα ενός από τους δημιουργούς του botnet Mirai , αποκτώντας τον κώδικα πριν από τη δημόσια κυκλοφορία του.
Οι επιτιθέμενοι χρησιμοποίησαν το Ebury για να παραδώσουν πρόσθετα απειλητικά ωφέλιμα φορτία
Το κακόβουλο λογισμικό λειτουργεί ως κλέφτης διαπιστευτηρίων backdoor και SSH, επιτρέποντας στους εισβολείς να εισάγουν πρόσθετα ωφέλιμα φορτία όπως τα HelimodSteal, HelimodProxy και HelimodRedirect, επεκτείνοντας έτσι την εμβέλειά τους σε δίκτυα που έχουν παραβιαστεί. Η πιο πρόσφατη έκδοση του Ebury που εντοπίστηκε είναι η 1.8.2.
Αυτά τα εργαλεία είναι προσανατολισμένα στη δημιουργία εσόδων από τους παραβιασμένους διακομιστές με διάφορα μέσα. Οι στρατηγικές δημιουργίας εσόδων περιλαμβάνουν κλοπή πληροφοριών πιστωτικών καρτών, κλοπή κρυπτονομισμάτων, ανακατεύθυνση επισκεψιμότητας, διάδοση ανεπιθύμητων μηνυμάτων και κλοπή διαπιστευτηρίων.
Το HelimodSteal, το HelimodRedirect και το HelimodProxy λειτουργούν ως λειτουργικές μονάδες διακομιστή HTTP για την παρακολούθηση αιτημάτων HTTP POST, την ανακατεύθυνση της κυκλοφορίας HTTP σε διαφημίσεις και την επισκεψιμότητα διακομιστή μεσολάβησης για διανομή ανεπιθύμητων μηνυμάτων. Η ομάδα χρησιμοποιεί επίσης μια λειτουργική μονάδα πυρήνα που ονομάζεται KernelRedirect, χρησιμοποιώντας ένα άγκιστρο Netfilter για να τροποποιήσει την κυκλοφορία HTTP και να ενεργοποιήσει την ανακατεύθυνση. Το HelimodSteal έχει σχεδιαστεί ειδικά για να συλλαμβάνει δεδομένα πιστωτικών καρτών που υποβάλλονται σε ηλεκτρονικά καταστήματα, ενεργώντας ως skimmer από τον διακομιστή για την εξαγωγή αυτών των ευαίσθητων πληροφοριών από μολυσμένους διακομιστές.
Οι εισβολείς χρησιμοποιούν επίσης λογισμικό για να αποκρύψουν και να επιτρέψουν κακόβουλη κυκλοφορία μέσω τείχη προστασίας, μαζί με σενάρια Perl, για επιθέσεις μεγάλης κλίμακας από άνθρωπο στη μέση στα κέντρα δεδομένων παρόχων φιλοξενίας. Στοχεύουν πολύτιμα περιουσιακά στοιχεία για να κλέψουν κρυπτονομίσματα από πορτοφόλια.
