एबरी बॉटनेट
एबरी नामक एक मैलवेयर बॉटनेट ने 2009 से लगभग 400,000 लिनक्स सर्वरों में घुसपैठ की है, और 2023 के अंत तक 100,000 से अधिक सर्वर खतरे में हैं। इस बॉटनेट को साइबर सुरक्षा विशेषज्ञों द्वारा वित्तीय लाभ के उद्देश्य से सबसे परिष्कृत सर्वर-साइड मैलवेयर अभियानों में से एक के रूप में मान्यता दी गई है।
एबरी के पीछे के अभिनेता विभिन्न मुद्रीकरण गतिविधियों में लगे हुए हैं, जैसे कि स्पैम वितरित करना, वेब ट्रैफ़िक को पुनर्निर्देशित करना और क्रेडेंशियल्स चुराना। इसके अतिरिक्त, वे मैन-इन-द-मिडल (MitM) हमलों के माध्यम से क्रिप्टोकरेंसी चोरी और नेटवर्क ट्रैफ़िक अवरोधन के माध्यम से क्रेडिट कार्ड चोरी में शामिल हैं, जिसे आमतौर पर सर्वर-साइड वेब स्किमिंग के रूप में जाना जाता है।
विषयसूची
साइबर अपराधी ईबरी बॉटनेट चलाते पकड़े गए
एबरी का उदय दस साल पहले ऑपरेशन विंडिगो के दौरान हुआ था, जिसका उद्देश्य लिनक्स सर्वरों से समझौता करना था। इस ऑपरेशन में वेब ट्रैफ़िक को पुनर्निर्देशित करने और स्पैम भेजने के लिए सीडॉर्क्ड और कैल्फ़बॉट जैसे अन्य टूल के साथ एबरी का इस्तेमाल किया गया था। अगस्त 2017 में, रूसी नागरिक मैक्सिम सेनख को एबरी बॉटनेट को विकसित करने और बनाए रखने में उसकी संलिप्तता के लिए अमेरिकी जेल में लगभग चार साल की सजा सुनाई गई थी।
अमेरिकी न्याय विभाग के अनुसार, सेनख और उसके सहयोगियों ने विभिन्न क्लिक-धोखाधड़ी और स्पैम ईमेल योजनाओं के लिए इंटरनेट ट्रैफ़िक में हेरफेर करने के लिए ईबरी बॉटनेट का उपयोग किया। इसके परिणामस्वरूप लाखों डॉलर की धोखाधड़ी हुई। अपनी दलील के हिस्से के रूप में, सेनख ने ईबरी बॉटनेट इंफ्रास्ट्रक्चर का विस्तार करने के लिए डोमेन रजिस्ट्रार के साथ खाते स्थापित करके आपराधिक उद्यम का समर्थन करने और इसके द्वारा उत्पन्न ट्रैफ़िक से व्यक्तिगत रूप से लाभ उठाने की बात कबूल की।
एबरी बॉटनेट ने कई अलग-अलग वैक्टर के माध्यम से डिवाइसों को संक्रमित किया
एक जांच में ईबरी को वितरित करने के लिए हमलावरों द्वारा नियोजित कई रणनीति का पता चला है, जिसमें एसएसएच क्रेडेंशियल्स चोरी करना, क्रेडेंशियल स्टफिंग, होस्टिंग प्रदाता के बुनियादी ढांचे में घुसपैठ करना, कंट्रोल वेब पैनल दोष CVE-2021-45467 जैसी कमजोरियों का फायदा उठाना और एसएसएच मैन-इन-द-मिडल (MitM) हमले करना शामिल है।
इसके अतिरिक्त, धमकी देने वाले अभिनेताओं को अपनी गतिविधियों को छिपाने के लिए नकली या चोरी की गई पहचान का उपयोग करते हुए देखा गया है। उन्होंने अन्य दुर्भावनापूर्ण अभिनेताओं द्वारा उपयोग किए जाने वाले बुनियादी ढांचे से समझौता किया है, अपने उद्देश्यों को प्राप्त करने और उन्हें ट्रेस करने के प्रयासों को भ्रमित करने के लिए ईबरी मैलवेयर का उपयोग किया है।
उदाहरण के लिए, हमलावरों ने विदार स्टीलर से डेटा एकत्र करने के लिए जिम्मेदार सर्वरों से समझौता किया। उन्होंने सर्वर इंफ्रास्ट्रक्चर को किराए पर लेने और गतिविधियों को अंजाम देने के लिए विदार स्टीलर के माध्यम से प्राप्त चोरी की गई पहचानों का इस्तेमाल किया, जानबूझकर कानून प्रवर्तन को गुमराह किया। दूसरे मामले में, ईबरी का इस्तेमाल मिराई बॉटनेट लेखकों में से एक के सिस्टम में सेंध लगाने के लिए किया गया था, जो सार्वजनिक रिलीज से पहले कोड प्राप्त कर रहा था।
हमलावरों ने अतिरिक्त ख़तरनाक पेलोड पहुंचाने के लिए एबरी का इस्तेमाल किया
मैलवेयर एक बैकडोर और SSH क्रेडेंशियल चोर के रूप में काम करता है, जिससे हमलावरों को हेलिमोडस्टील, हेलिमोडप्रॉक्सी और हेलिमोडरीडायरेक्ट जैसे अतिरिक्त पेलोड पेश करने में मदद मिलती है, जिससे समझौता किए गए नेटवर्क के भीतर उनकी पहुंच बढ़ जाती है। Ebury का सबसे हालिया संस्करण 1.8.2 पहचाना गया है।
ये उपकरण विभिन्न तरीकों से समझौता किए गए सर्वरों से पैसे कमाने की दिशा में काम करते हैं। मुद्रीकरण रणनीतियों में क्रेडिट कार्ड की जानकारी की चोरी, क्रिप्टोकरेंसी की चोरी, ट्रैफ़िक पुनर्निर्देशन, स्पैम प्रसार और क्रेडेंशियल चोरी शामिल हैं।
हेलिमोडस्टील, हेलिमोडरीडायरेक्ट और हेलिमोडप्रॉक्सी HTTP सर्वर मॉड्यूल के रूप में HTTP POST अनुरोधों को रोकने, HTTP ट्रैफ़िक को विज्ञापनों पर रीडायरेक्ट करने और स्पैम वितरण के लिए प्रॉक्सी ट्रैफ़िक के रूप में कार्य करते हैं। समूह कर्नेलरीडायरेक्ट नामक कर्नेल मॉड्यूल का भी उपयोग करता है, जो HTTP ट्रैफ़िक को संशोधित करने और रीडायरेक्ट को सक्षम करने के लिए नेटफ़िल्टर हुक का उपयोग करता है। हेलिमोडस्टील को विशेष रूप से ऑनलाइन स्टोर में सबमिट किए गए क्रेडिट कार्ड डेटा को कैप्चर करने के लिए डिज़ाइन किया गया है, जो संक्रमित सर्वर से इस संवेदनशील जानकारी को निकालने के लिए सर्वर-साइड वेब स्किमर के रूप में कार्य करता है।
हमलावर होस्टिंग प्रदाताओं के डेटा केंद्रों के भीतर बड़े पैमाने पर मैन-इन-द-मिडल हमलों के लिए फ़ायरवॉल के माध्यम से दुर्भावनापूर्ण ट्रैफ़िक को छिपाने और अनुमति देने के लिए सॉफ़्टवेयर का भी लाभ उठाते हैं। वे वॉलेट से क्रिप्टोकरेंसी चुराने के लिए मूल्यवान संपत्तियों को निशाना बनाते हैं।
