Ebury botnetas
Kenkėjiškų programų botnetas, pavadintas Ebury, nuo 2009 m. įsiskverbė į maždaug 400 000 „Linux“ serverių, o 2023 m. pabaigoje daugiau nei 100 000 serverių liko pažeisti. Šį robotų tinklą kibernetinio saugumo ekspertai pripažįsta kaip vieną sudėtingiausių serverio kenkėjiškų programų kampanijų, kuriomis siekiama finansinės naudos.
„Ebury“ veikėjai užsiėmė įvairia pajamų gavimo veikla, pavyzdžiui, platino šlamštą, nukreipė žiniatinklio srautą ir vogė kredencialus. Be to, jie yra susiję su kriptovaliutų vagystėmis per „Man-in-the-Middle“ (MitM) atakas ir kredito kortelių vagystėmis per tinklo srauto perėmimą. Ši technika paprastai vadinama serverio žiniatinklio nuskaitymu.
Turinys
Kibernetiniai nusikaltėliai buvo sugauti valdydami „Ebury“ robotų tinklą
Ebury atsirado daugiau nei prieš dešimt metų per operaciją Windigo – kampaniją, kuria siekiama pažeisti „Linux“ serverius. Ši operacija įdiegė „Ebury“ kartu su kitais įrankiais, tokiais kaip „Cdorked“ ir „Calfbot“, kad būtų galima nukreipti žiniatinklio srautą ir siųsti šlamštą. 2017 m. rugpjūčio mėn. Rusijos pilietis Maksimas Senakhas buvo nuteistas beveik ketveriems metams kalėti JAV už dalyvavimą kuriant ir palaikant „Ebury“ robotų tinklą.
Pasak JAV teisingumo departamento, Senakhas ir jo bendražygiai naudojo „Ebury“ robotų tinklą, kad manipuliuotų interneto srautu įvairioms sukčiavimo paspaudimams ir el. pašto schemoms. Dėl to apgaulingos pajamos siekė milijonus dolerių. Kaip dalį savo prašymo, Senakh prisipažino palaikęs nusikalstamą įmonę, sukurdamas paskyras domenų registratoriuose, kad išplėtė Ebury botneto infrastruktūrą, ir asmeniškai pasipelnė iš jo generuojamo srauto.
„Ebury Botnet“ užkrėsti įrenginiai per daugybę skirtingų vektorių
Tyrimas atskleidė daugybę taktikos, kurias užpuolikai naudojo platindami „Ebury“, įskaitant SSH kredencialų vagystę, kredencialų užpildymą, įsiskverbimą į prieglobos paslaugų teikėjo infrastruktūrą, pažeidžiamumų, pvz., Valdymo žiniatinklio skydo trūkumo CVE-2021-45467, išnaudojimą ir SSH tarpininkavimą ( MitM) atakų.
Be to, buvo pastebėta, kad grėsmės veikėjai, norėdami nuslėpti savo veiklą, naudojo netikras arba pavogtas tapatybes. Jie pažeidė infrastruktūrą, kurią naudoja kiti kenkėjiški veikėjai, įdiegdami „Ebury“ kenkėjišką programinę įrangą, kad pasiektų savo tikslus, ir suklaidino pastangas juos atsekti.
Pavyzdžiui, užpuolikai pažeidė serverius, atsakingus už duomenų rinkimą iš Vidar Stealer. Per Vidar Stealer įgytas pavogtas tapatybes jie naudojo serverių infrastruktūrai nuomoti ir veiklai vykdyti, tyčia klaidindami teisėsaugą. Kitu atveju „Ebury“ buvo panaudotas siekiant pažeisti vieno iš „Mirai “ botneto autorių sistemą ir gauti kodą prieš jį viešai išleidžiant.
Užpuolikai pasinaudojo Ebury, kad pristatytų papildomus grėsmingus krovinius
Kenkėjiška programa veikia kaip užpakalinių durų ir SSH kredencialų vagis, leidžianti užpuolikams įvesti papildomų naudingųjų apkrovų, pvz., „HelimodSteal“, „HelimodProxy“ ir „HelimodRedirect“, taip išplečiant jų pasiekiamumą pažeistuose tinkluose. Naujausia nustatyta Ebury versija yra 1.8.2.
Šie įrankiai skirti įvairiomis priemonėmis užsidirbti pinigų iš pažeistų serverių. Pajamų gavimo strategijos apima kredito kortelių informacijos vagystes, kriptovaliutų grobstymą, srauto nukreipimą, šlamšto platinimą ir kredencialų vagystes.
HelimodSteal, HelimodRedirect ir HelimodProxy veikia kaip HTTP serverio moduliai, perimantys HTTP POST užklausas, nukreipti HTTP srautą į skelbimus ir tarpinio serverio srautą, skirtą šlamšto platinimui. Grupė taip pat naudoja branduolio modulį, pavadintą KernelRedirect, naudodamas Netfilter kabliuką HTTP srautui modifikuoti ir peradresavimui įgalinti. „HelimodSteal“ yra specialiai sukurta internetinėms parduotuvėms pateiktiems kredito kortelių duomenims užfiksuoti, veikiant kaip serverio žiniatinklio skimeris, siekiant išgauti šią neskelbtiną informaciją iš užkrėstų serverių.
Užpuolikai taip pat naudoja programinę įrangą, kad nuslėptų ir leistų kenkėjišką srautą per ugniasienes, kartu su „Perl“ scenarijais, kad galėtų vykdyti didelio masto tarpininkų atakas prieglobos paslaugų teikėjų duomenų centruose. Jie taikosi į vertingą turtą, kad pavogtų kriptovaliutą iš piniginių.
