Ebury botnet

Az Ebury nevű rosszindulatú botnet 2009 óta körülbelül 400 000 Linux-kiszolgálóra hatolt be, és 2023 végén több mint 100 000 szerver maradt veszélyben. Ezt a botnetet a kiberbiztonsági szakértők az egyik legkifinomultabb, pénzügyi haszonszerzésre irányuló, szerveroldali rosszindulatú programkampányként tartják számon.

Az Ebury mögött álló szereplők különféle bevételszerzési tevékenységekben vettek részt, mint például spam terjesztése, webes forgalom átirányítása és hitelesítő adatok ellopása. Ezenkívül részt vesznek a Man-in-the-Middle (MitM) támadásokon keresztül történő kriptovaluta-lopásban, valamint a hálózati forgalom elfogásán keresztül végrehajtott hitelkártya-lopásban, ezt a technikát általában szerveroldali webes áttekintésnek nevezik.

Kiberbűnözőket fogtak el az Ebury botnet működtetése közben

Az Ebury több mint tíz évvel ezelőtt jelent meg az Operation Windigo során, amely kampány a Linux szerverek kompromittálására irányult. Ez a művelet az Eburyt más eszközökkel, például a Cdorkeddel és a Calfbottal együtt telepítette a webes forgalom átirányítására és a spam küldésére. 2017 augusztusában Maxim Senakh orosz állampolgárt csaknem négy évre ítélték amerikai börtönbüntetésre, mert részt vett az Ebury botnet fejlesztésében és fenntartásában.

Az Egyesült Államok igazságügyi minisztériuma szerint Senakh és társai az Ebury botnetet használták arra, hogy manipulálják az internetes forgalmat különféle kattintáscsalás és spam e-mail sémák miatt. Ez több millió dolláros csalárd bevételt eredményezett. Könyörgésének részeként Senakh bevallotta, hogy támogatta a bűnözői vállalkozást azáltal, hogy fiókokat hozott létre a domain regisztrátoroknál az Ebury botnet infrastruktúra bővítése érdekében, és személyesen profitált az általa generált forgalomból.

Az Ebury Botnet fertőzött eszközök számos különböző vektoron keresztül

A vizsgálat során a támadók többféle taktikát tártak fel az Ebury terjesztésére, ideértve az SSH-hitelesítő adatok ellopását, a hitelesítő adatok feltöltését, a tárhelyszolgáltató infrastruktúrájának beszivárgását, a sebezhetőségek kihasználását, például a Vezérlő webpanel hibáját, a CVE-2021-45467-et, és az SSH-ban történő behatolást ( MitM) támadások.

Ezenkívül megfigyeltek olyan fenyegetés szereplőit, akik hamis vagy ellopott személyazonosságokat használtak tevékenységük elrejtésére. Kompromittálták a más rosszindulatú szereplők által használt infrastruktúrát, és az Ebury kártevőt telepítették céljaik elérése érdekében, és megzavarták a nyomon követésüket.

Például a támadók feltörték a Vidar Stealertől származó adatok gyűjtéséért felelős szervereket. A Vidar Stealeren keresztül megszerzett ellopott személyazonosságokat szerverinfrastruktúra bérlésére és tevékenységek végzésére használták fel, szándékosan megtévesztve a bűnüldözést. Egy másik esetben az Eburyt arra használták, hogy feltörjék a Mirai botnet egyik szerzőjének rendszerét, megszerezve a kódot annak nyilvános kiadása előtt.

A támadók az Eburyt használták fel további fenyegető rakományok szállítására

A rosszindulatú program hátsó ajtóként és SSH-hitelesítőadat-tolvajként működik, lehetővé téve a támadók számára, hogy további hasznos terheket vezessenek be, mint például a HelimodSteal, a HelimodProxy és a HelimodRedirect, ezáltal kiterjesztve elérhetőségüket a feltört hálózatokon belül. Az azonosított Ebury legújabb verziója az 1.8.2.

Ezek az eszközök a kompromittált szerverek különféle módokon történő bevételszerzésére irányulnak. A bevételszerzési stratégiák magukban foglalják a hitelkártyaadatok eltulajdonítását, a kriptovaluta ellopását, a forgalom átirányítását, a spam terjesztését és a hitelesítő adatok ellopását.

A HelimodSteal, a HelimodRedirect és a HelimodProxy HTTP szerver modulként funkcionál a HTTP POST kérések elfogására, a HTTP-forgalom hirdetésekre való átirányítására és a proxyforgalomra a spam terjesztésére. A csoport egy KernelRedirect nevű kernelmodult is használ, amely Netfilter hook segítségével módosítja a HTTP forgalmat és engedélyezi az átirányítást. A HelimodSteal kifejezetten az online áruházakba beküldött hitelkártyaadatok rögzítésére szolgál, és szerveroldali webes szkimmerként kinyeri ezeket az érzékeny információkat a fertőzött szerverekről.

A támadók szoftvereket is felhasználnak a tűzfalakon keresztüli rosszindulatú forgalom elrejtésére és engedélyezésére, valamint a Perl-szkripteket a tárhelyszolgáltatók adatközpontjain belüli nagyszabású emberközeli támadásokhoz. Értékes eszközöket céloznak meg, hogy kriptovalutát lopjanak el a pénztárcákból.