אבורי בוטנט
רשת בוט לתוכנות זדוניות בשם Ebury חדרה לכ-400,000 שרתי לינוקס מאז 2009, כאשר למעלה מ-100,000 שרתים נותרו בסיכון נכון לשנת 2023. הבוטנט הזה מוכר על ידי מומחי אבטחת סייבר כאחד הקמפיינים המתוחכמים ביותר של תוכנות זדוניות בצד השרת שמטרתן רווח כספי.
השחקנים מאחורי Ebury עסקו בפעילויות מונטיזציה שונות, כגון הפצת ספאם, הפניית תעבורת אינטרנט וגניבת אישורים. בנוסף, הם מעורבים בגניבת מטבעות קריפטוגרפיים באמצעות התקפות Man-in-the-Middle (MitM) וגניבת כרטיסי אשראי באמצעות יירוט תעבורת רשת, טכניקה המכונה בדרך כלל רחפת אינטרנט בצד השרת.
תוכן העניינים
פושעי סייבר נתפסו כשהם מפעילים את Ebury Botnet
Ebury הופיע לפני יותר מעשר שנים במהלך מבצע Windigo, קמפיין שמטרתו פגיעה בשרתי לינוקס. פעולה זו פרסה את Ebury יחד עם כלים אחרים כמו Cdorked ו-Calfbot כדי להפנות מחדש תעבורת אינטרנט ולשלוח דואר זבל. באוגוסט 2017, מקסים סנאך, אזרח רוסי, נידון לכמעט ארבע שנות מאסר בארה"ב בגין מעורבותו בפיתוח ותחזוקת הבוטנט Ebury.
סנאך ושותפיו השתמשו ברשת הבוטנט Ebury כדי לתמרן תעבורת אינטרנט עבור הונאות קליקים ותוכניות דואר זבל שונות, לפי משרד המשפטים האמריקני. זה הביא להכנסות הונאה בהיקף של מיליוני דולרים. במסגרת בקשתו, סנח הודה בתמיכה במפעל הפלילי על ידי הקמת חשבונות אצל רשמי דומיינים כדי להרחיב את תשתית הבוטנט של Ebury והרוויח באופן אישי מהתנועה שנוצרה על ידו.
התקנים נגועים ב-Ebury Botnet באמצעות וקטורים שונים
חקירה חשפה טקטיקות מרובות שהופעלו על ידי תוקפים כדי להפיץ את Ebury, כולל גניבת אישורי SSH, מילוי אישורים, חדירת תשתית של ספקי אירוח, ניצול נקודות תורפה כמו פגם ב-Control Web Panel CVE-2021-45467, וביצוע SSH man-in-the-middle ( התקפות MitM).
בנוסף, נצפו שחקני איומים המשתמשים בזהות מזויפת או גנובה כדי להסתיר את פעילותם. הם פגעו בתשתית המשמשת שחקנים זדוניים אחרים, פרסו את התוכנה הזדונית של Ebury כדי להשיג את המטרות שלהם ולבלבל את המאמצים להתחקות אחריהם.
לדוגמה, תוקפים פשרו שרתים האחראים לאיסוף נתונים מ-Vidar Stealer. הם השתמשו בזהויות גנובות שנרכשו באמצעות Vidar Stealer כדי לשכור תשתית שרתים ולבצע פעילויות, תוך הטעיה מכוונת של רשויות אכיפת החוק. במקרה אחר, נעשה שימוש ב-Ebury כדי להפר את המערכת של אחד ממחברי הבוטנט של Mirai , והשיג את הקוד לפני שחרורו לציבור.
תוקפים השתמשו ב-Ebury כדי לספק מטענים מאיימים נוספים
התוכנה הזדונית פועלת כגנב אישורי SSH בדלת אחורית, ומאפשרת לתוקפים להציג מטענים נוספים כמו HelimodSteal, HelimodProxy ו- HelimodRedirect, ובכך להרחיב את טווח ההגעה שלהם ברשתות שנפגעו. הגרסה העדכנית ביותר של Ebury שזוהתה היא 1.8.2.
כלים אלה מכוונים למונטיזציה של השרתים שנפגעו באמצעים שונים. אסטרטגיות מונטיזציה כוללות גניבה של פרטי כרטיסי אשראי, גניבת מטבעות קריפטוגרפיים, הפניית תנועה, הפצת דואר זבל וגניבת אישורים.
HelimodSteal, HelimodRedirect ו- HelimodProxy מתפקדים כמודולים של שרת HTTP ליירט בקשות HTTP POST, הפניית תעבורת HTTP לפרסומות ותעבורת פרוקסי להפצת דואר זבל. הקבוצה משתמשת גם במודול ליבה בשם KernelRedirect, תוך שימוש ב-Netfilter Hook כדי לשנות תעבורת HTTP ולאפשר ניתוב מחדש. HelimodSteal תוכנן במיוחד ללכידת נתוני כרטיסי אשראי שנשלחו לחנויות מקוונות, ופועל כרחפן אינטרנט בצד השרת כדי לחלץ מידע רגיש זה משרתים נגועים.
התוקפים גם ממנפים תוכנה כדי להסתיר ולהתיר תעבורה זדונית דרך חומות אש, יחד עם סקריפטים של Perl, עבור התקפות אדם-באמצע בקנה מידה גדול בתוך מרכזי הנתונים של ספקי אירוח. הם מכוונים לנכסים יקרי ערך כדי לגנוב מטבעות קריפטוגרפיים מארנקים.
