Ebury Botnet
Ebury-niminen haittaohjelmabottiverkko on tunkeutunut noin 400 000 Linux-palvelimeen vuodesta 2009 lähtien, ja yli 100 000 palvelinta on edelleen vaarantunut vuoden 2023 lopulla. Kyberturvallisuusasiantuntijat ovat tunnustaneet tämän bottiverkon yhdeksi kehittyneimmistä palvelinpuolen haittaohjelmakampanjoista, joilla pyritään taloudelliseen hyötyyn.
Eburyn taustalla olevat toimijat ovat osallistuneet erilaisiin kaupallistamistoimintoihin, kuten roskapostin jakamiseen, verkkoliikenteen uudelleenohjaamiseen ja valtuustietojen varastamiseen. Lisäksi he ovat mukana kryptovaluuttavarkauksissa Man-in-the-Middle (MitM) -hyökkäyksillä ja luottokorttivarkauksilla verkkoliikenteen sieppaamisen kautta, tekniikkaa, jota kutsutaan yleisesti palvelinpuolen verkkoselvityksellä.
Sisällysluettelo
Kyberrikolliset jäivät kiinni Ebury-botnetin käytöstä
Ebury syntyi yli kymmenen vuotta sitten Operation Windigo -kampanjan aikana, jonka tarkoituksena oli vaarantaa Linux-palvelimet. Tämä toimenpide otti Eburyn käyttöön muiden työkalujen, kuten Cdorkedin ja Calfbotin, kanssa verkkoliikenteen ohjaamiseen ja roskapostin lähettämiseen. Elokuussa 2017 Venäjän kansalainen Maxim Senakh tuomittiin lähes neljäksi vuodeksi Yhdysvaltain vankilaan hänen osallistumisestaan Ebury-botnetin kehittämiseen ja ylläpitoon.
Yhdysvaltain oikeusministeriön mukaan Senakh ja hänen työtoverinsa käyttivät Ebury-botnet-verkkoa manipuloidakseen Internet-liikennettä erilaisissa napsautuspetos- ja roskapostiohjelmissa. Tämä johti miljoonien dollarien arvoisiin petollisiin tuloihin. Osana vetoomustaan Senakh tunnusti tukeneensa rikollista yritystä perustamalla tilit verkkotunnusten rekisteröijien kanssa laajentaakseen Ebury-botnet-infrastruktuuria ja hyötyi henkilökohtaisesti sen tuottamasta liikenteestä.
Ebury Botnet -tartunnan saaneet laitteet lukuisten eri vektoreiden kautta
Tutkimus on paljastanut useita hyökkääjien käyttämiä taktiikoita Eburyn levittämiseen, mukaan lukien SSH-tunnistetietojen varastaminen, valtuustietojen täyttäminen, tunkeutuminen isännöintipalveluntarjoajan infrastruktuuriin, haavoittuvuuksien, kuten Ohjausverkkopaneelin virheen CVE-2021-45467, hyödyntäminen ja SSH-mies-in-the-middle () MitM) hyökkäykset.
Lisäksi uhkatekijöitä on havaittu käyttäneen väärennettyjä tai varastettuja henkilöllisyyksiä toimintansa salaamiseen. He ovat vaarantaneet muiden haitallisten toimijoiden käyttämän infrastruktuurin, ottaneet käyttöön Ebury-haittaohjelman saavuttaakseen tavoitteensa ja sekoittaneet pyrkimyksiä jäljittää niitä.
Esimerkiksi hyökkääjät vaaransivat palvelimet, jotka ovat vastuussa tietojen keräämisestä Vidar Stealeristä. He käyttivät Vidar Stealerin kautta hankittuja varastettuja identiteettiä palvelininfrastruktuurin vuokraamiseen ja toimiin, jotka johtaivat tarkoituksellisesti harhaan lainvalvontaviranomaisia. Toisessa tapauksessa Eburyä käytettiin rikkomaan yhden Mirai -botnet-tekijän järjestelmää ja hankkimaan koodi ennen sen julkistamista.
Hyökkääjät käyttivät Eburyta toimittamaan lisää uhkaavia hyötykuormia
Haittaohjelma toimii takaoven ja SSH-tunnistetietojen varastajana, jolloin hyökkääjät voivat tuoda lisää hyötykuormia, kuten HelimodSteal, HelimodProxy ja HelimodRedirect, mikä laajentaa kattavuuttaan vaarantuneissa verkoissa. Uusin tunnistettu Eburyn versio on 1.8.2.
Nämä työkalut on suunnattu vaarantuneiden palvelimien ansaitsemiseen eri tavoin. Kaupallistamisstrategioita ovat luottokorttitietojen varastaminen, kryptovaluuttojen ryöstäminen, liikenteen uudelleenohjaus, roskapostin levittäminen ja valtuustietojen varkaus.
HelimodSteal, HelimodRedirect ja HelimodProxy toimivat HTTP-palvelinmoduuleina, jotka sieppaavat HTTP POST -pyyntöjä, ohjaavat HTTP-liikennettä mainoksiin ja välityspalvelinliikennettä roskapostin jakeluun. Ryhmä käyttää myös KernelRedirect-nimistä ydinmoduulia, joka käyttää Netfilter-koukkua HTTP-liikenteen muokkaamiseen ja uudelleenohjauksen mahdollistamiseen. HelimodSteal on erityisesti suunniteltu kaappaamaan verkkokauppoihin lähetettyjä luottokorttitietoja ja se toimii palvelinpuolen verkkokeräimenä, joka poimii nämä arkaluontoiset tiedot tartunnan saaneilta palvelimilta.
Hyökkääjät myös hyödyntävät ohjelmistoja salatakseen ja salliakseen haitallisen liikenteen palomuurien sekä Perl-komentosarjojen kautta suuria välimieshyökkäyksiä varten hosting-palvelujen tarjoajien tietokeskuksissa. He kohdistavat arvokkaita varoja varastaakseen kryptovaluuttoja lompakoista.
