Botnet Ebury
Una botnet malware denominata Ebury si è infiltrata in circa 400.000 server Linux dal 2009, con oltre 100.000 server rimasti compromessi alla fine del 2023. Questa botnet è riconosciuta dagli esperti di sicurezza informatica come una delle più sofisticate campagne malware lato server mirate a guadagni finanziari.
Gli attori dietro Ebury si sono impegnati in varie attività di monetizzazione, come la distribuzione di spam, il reindirizzamento del traffico Web e il furto di credenziali. Inoltre, sono coinvolti nel furto di criptovaluta tramite attacchi Man-in-the-Middle (MitM) e nel furto di carte di credito tramite l'intercettazione del traffico di rete, una tecnica comunemente chiamata web skimming lato server.
Sommario
I criminali informatici sono stati scoperti mentre utilizzavano la botnet Ebury
Ebury è emerso più di dieci anni fa durante l'Operazione Windigo, una campagna volta a compromettere i server Linux. Questa operazione ha utilizzato Ebury insieme ad altri strumenti come Cdorked e Calfbot per reindirizzare il traffico web e inviare spam. Nell’agosto 2017 Maxim Senakh, cittadino russo, è stato condannato a quasi quattro anni di carcere negli Stati Uniti per il suo coinvolgimento nello sviluppo e nella manutenzione della botnet Ebury.
Secondo il Dipartimento di Giustizia degli Stati Uniti, Senakh e i suoi associati hanno utilizzato la botnet Ebury per manipolare il traffico Internet per vari schemi di frode sui clic e di posta indesiderata. Ciò ha comportato entrate fraudolente pari a milioni di dollari. Nella sua supplica Senakh ha confessato di aver sostenuto l'impresa criminale aprendo conti presso registrar di domini per espandere l'infrastruttura della botnet di Ebury e di aver tratto profitto personalmente dal traffico da essa generato.
I dispositivi infetti dalla botnet Ebury tramite numerosi vettori diversi
Un'indagine ha rivelato molteplici tattiche utilizzate dagli aggressori per distribuire Ebury, tra cui il furto di credenziali SSH, il credential stuffing, l'infiltrazione nell'infrastruttura del provider di hosting, lo sfruttamento di vulnerabilità come il difetto del pannello Web di controllo CVE-2021-45467 e la conduzione di operazioni man-in-the-middle SSH ( MitM) attacchi.
Inoltre, è stato osservato che gli autori delle minacce utilizzano identità false o rubate per nascondere le loro attività. Hanno compromesso l'infrastruttura utilizzata da altri malintenzionati, distribuendo il malware Ebury per raggiungere i propri obiettivi e confondere gli sforzi per rintracciarli.
Ad esempio, gli aggressori hanno compromesso i server responsabili della raccolta dei dati da Vidar Stealer. Hanno utilizzato identità rubate acquisite tramite Vidar Stealer per affittare l'infrastruttura dei server e svolgere attività, fuorviando intenzionalmente le forze dell'ordine. In un altro caso, Ebury è stato utilizzato per violare il sistema di uno degli autori della botnet Mirai , ottenendo il codice prima che fosse reso pubblico.
Gli aggressori hanno utilizzato Ebury per fornire ulteriori carichi minacciosi
Il malware funziona come una backdoor e un ladro di credenziali SSH, consentendo agli aggressori di introdurre payload aggiuntivi come HelimodSteal, HelimodProxy e HelimodRedirect, estendendo così la loro portata all'interno delle reti compromesse. La versione più recente di Ebury identificata è la 1.8.2.
Questi strumenti sono mirati a monetizzare i server compromessi attraverso vari mezzi. Le strategie di monetizzazione includono il furto di informazioni sulle carte di credito, il furto di criptovaluta, il reindirizzamento del traffico, la diffusione di spam e il furto di credenziali.
HelimodSteal, HelimodRedirect e HelimodProxy funzionano come moduli server HTTP per intercettare richieste HTTP POST, reindirizzare il traffico HTTP verso annunci pubblicitari e traffico proxy per la distribuzione di spam. Il gruppo utilizza anche un modulo del kernel chiamato KernelRedirect, che impiega un hook Netfilter per modificare il traffico HTTP e abilitare il reindirizzamento. HelimodSteal è specificamente progettato per acquisire i dati delle carte di credito inviati ai negozi online, agendo come uno skimmer web lato server per estrarre queste informazioni sensibili dai server infetti.
Gli aggressori sfruttano anche il software per nascondere e consentire il traffico dannoso attraverso i firewall, insieme agli script Perl, per attacchi man-in-the-middle su larga scala all'interno dei data center dei provider di hosting. Prendono di mira risorse preziose per rubare criptovaluta dai portafogli.
