Ebury robotvõrk
Pahavara botnet nimega Ebury on alates 2009. aastast imbunud umbes 400 000 Linuxi serverisse, kusjuures 2023. aasta lõpu seisuga on ohustatud üle 100 000 serveri. Küberturvalisuse eksperdid tunnustavad seda botnetti kui üht kõige keerukamat serveripoolset pahavarakampaaniat, mille eesmärk on rahaline kasu.
Ebury taga olevad näitlejad on tegelenud mitmesuguste monetiseerimistoimingutega, nagu rämpsposti levitamine, veebiliikluse ümbersuunamine ja volikirjade varastamine. Lisaks on nad seotud krüptovaluutavargustega Man-in-the-Middle (MitM) rünnakute kaudu ja krediitkaardivargustega võrguliikluse pealtkuulamise kaudu – tehnikat, mida tavaliselt nimetatakse serveripoolseks veebisõlmimiseks.
Sisukord
Küberkurjategijad jäid vahele Ebury robotvõrguga
Ebury tekkis üle kümne aasta tagasi operatsiooni Windigo ajal, mille eesmärk oli Linuxi serverite kahjustamine. See toiming kasutas veebiliikluse ümbersuunamiseks ja rämpsposti saatmiseks Ebury koos teiste tööriistadega, nagu Cdorked ja Calfbot. 2017. aasta augustis mõisteti Venemaa kodanik Maxim Senakh peaaegu neljaks aastaks USA vanglasse, kuna ta osales Ebury botneti arendamisel ja hooldamisel.
USA justiitsministeeriumi andmetel kasutasid Senakh ja tema kaaslased Ebury botnetti, et manipuleerida Interneti-liiklusega mitmesuguste klikipettuste ja rämpsposti skeemide jaoks. See tõi kaasa miljonite dollarite suuruse pettusetulu. Osana oma palvest tunnistas Senakh, et toetas kuritegelikku ettevõtmist, luues kontod domeeniregistripidajate juures, et laiendada Ebury botneti infrastruktuuri, ja sai isiklikult kasu selle tekitatud liiklusest.
Ebury robotvõrguga nakatunud seadmed paljude erinevate vektorite kaudu
Uurimine on paljastanud mitu taktikat, mida ründajad kasutavad Ebury levitamiseks, sealhulgas SSH-mandaatide varastamine, mandaatide täitmine, hostimise pakkuja infrastruktuuri sissetungimine, turvaaukude (nt juhtveebipaneeli viga CVE-2021-45467) ärakasutamine ja SSH-i vahejuhtimine ( MitM) rünnakud.
Lisaks on täheldatud ohus osalejaid, kes kasutavad oma tegevuse varjamiseks võltsitud või varastatud identiteete. Nad on ohustanud teiste pahatahtlike osalejate kasutatavat infrastruktuuri, juurutades oma eesmärkide saavutamiseks Ebury pahavara ja seganud püüdlusi nende jälitamiseks.
Näiteks ründasid ründajad Vidar Stealeri andmete kogumise eest vastutavaid servereid. Nad kasutasid Vidar Stealeri kaudu omandatud varastatud identiteete serveri infrastruktuuri rentimiseks ja tegevuste läbiviimiseks, eksitades tahtlikult õiguskaitseorganit. Teisel juhul kasutati Eburyt ühe Mirai botneti autori süsteemi rikkumiseks, hankides koodi enne selle avalikku avaldamist.
Ründajad kasutasid Eburyt, et toimetada täiendavaid ähvardavaid koormaid
Pahavara toimib tagaukse ja SSH mandaadivargana, võimaldades ründajatel sisestada täiendavaid kasulikke koormusi, nagu HelimodSteal, HelimodProxy ja HelimodRedirect, laiendades seeläbi nende ulatust ohustatud võrkudes. Uusim tuvastatud Ebury versioon on 1.8.2.
Need tööriistad on mõeldud ohustatud serverite raha teenimiseks erinevate vahenditega. Monetiseerimisstrateegiad hõlmavad krediitkaarditeabe vargusi, krüptovaluutade röövimist, liikluse ümbersuunamist, rämpsposti levitamist ja volikirjade vargust.
HelimodSteal, HelimodRedirect ja HelimodProxy toimivad HTTP-serveri moodulitena HTTP POST-i päringute pealtkuulamiseks, HTTP-liikluse ümbersuunamiseks reklaamidele ja puhverserveri liikluse rämpsposti levitamiseks. Rühm kasutab ka kerneli moodulit nimega KernelRedirect, mis kasutab HTTP-liikluse muutmiseks ja ümbersuunamise võimaldamiseks Netfilteri konksu. HelimodSteal on spetsiaalselt loodud veebipoodidele edastatud krediitkaardiandmete jäädvustamiseks, toimides serveripoolse veebilehe skimmerina, et eraldada see tundlikku teavet nakatunud serveritest.
Ründajad kasutavad ka tarkvara, et varjata ja lubada pahatahtlikku liiklust tulemüüride kaudu koos Perli skriptidega suuremahuliste rünnakute jaoks hostiteenuse pakkujate andmekeskustes. Nad sihivad väärtuslikke varasid, et varastada rahakotist krüptovaluutat.
