Ebury robottīkls
Ļaunprātīgas programmatūras robottīkls ar nosaukumu Ebury kopš 2009. gada ir iefiltrējies aptuveni 400 000 Linux serveru, un līdz 2023. gada beigām vairāk nekā 100 000 serveru joprojām ir apdraudēti. Šo robottīklu kiberdrošības eksperti ir atzinuši par vienu no sarežģītākajām servera puses ļaunprātīgas programmatūras kampaņām, kuras mērķis ir finansiāli gūt labumu.
Ebury dalībnieki ir iesaistījušies dažādās monetizācijas aktivitātēs, piemēram, izplatot surogātpastu, novirzot tīmekļa trafiku un zagušas akreditācijas datus. Turklāt viņi ir iesaistīti kriptovalūtas zādzībās, izmantojot Man-in-the-Middle (MitM) uzbrukumus, un kredītkaršu zādzībās, izmantojot tīkla trafika pārtveršanu, ko parasti dēvē par servera puses tīmekļa pārtveršanu.
Satura rādītājs
Kibernoziedznieki tika pieķerti, darbojoties ar Ebury robottīklu
Ebury parādījās pirms vairāk nekā desmit gadiem operācijas Windigo laikā, kampaņā, kuras mērķis bija kompromitēt Linux serverus. Šī darbība izvietoja Ebury kopā ar citiem rīkiem, piemēram, Cdorked un Calfbot, lai novirzītu tīmekļa trafiku un nosūtītu surogātpastu. 2017. gada augustā Maksimam Senakam, Krievijas pilsonim, tika piespriests gandrīz četru gadu cietumsods ASV par līdzdalību Ebury robottīkla izstrādē un uzturēšanā.
Senakh un viņa līdzstrādnieki izmantoja Ebury robottīklu, lai manipulētu ar interneta trafiku dažādām klikšķu krāpšanas un surogātpasta e-pasta shēmām, ziņo ASV Tieslietu ministrija. Tā rezultātā tika gūti krāpnieciski ieņēmumi miljoniem dolāru apmērā. Sava lūguma ietvaros Senakh atzinās, ka ir atbalstījis noziedzīgo uzņēmumu, izveidojot kontus domēnu reģistratoros, lai paplašinātu Ebury robottīkla infrastruktūru, un personīgi guvis peļņu no tā radītās trafika.
Ebury robottīkla inficētās ierīces, izmantojot daudzus dažādus vektorus
Izmeklēšanā ir atklātas vairākas taktikas, ko uzbrucēji izmantojuši, lai izplatītu Ebury, tostarp SSH akreditācijas datu zagšanu, akreditācijas datu papildināšanu, iefiltrēšanos mitināšanas pakalpojumu sniedzēja infrastruktūrā, ievainojamību, piemēram, vadības tīmekļa paneļa defekta CVE-2021-45467, izmantošanu un SSH manipulācijas pa vidu ( MitM) uzbrukumiem.
Turklāt ir novēroti draudu dalībnieki, kuri izmanto viltotas vai zagtas identitātes, lai slēptu savas darbības. Viņi ir apdraudējuši infrastruktūru, ko izmanto citi ļaunprātīgi dalībnieki, izvietojot Ebury ļaunprogrammatūru, lai sasniegtu savus mērķus, un sajaucot centienus tos izsekot.
Piemēram, uzbrucēji apdraudēja serverus, kas ir atbildīgi par datu vākšanu no Vidar Stealer. Viņi izmantoja zagtas identitātes, kas iegūtas, izmantojot Vidar Stealer , lai iznomātu servera infrastruktūru un veiktu darbības, tīši maldinot tiesībaizsardzības iestādes. Citā gadījumā Ebury tika izmantots, lai uzlauztu viena no Mirai robottīkla autoru sistēmu, iegūstot kodu pirms tā publiskas izlaišanas.
Uzbrucēji izmantoja Ebury, lai piegādātu papildu bīstamās kravas
Ļaunprātīga programmatūra darbojas kā aizmugures durvju un SSH akreditācijas datu zaglis, ļaujot uzbrucējiem ieviest papildu slodzes, piemēram, HelimodSteal, HelimodProxy un HelimodRedirect, tādējādi paplašinot to sasniedzamību apdraudētajos tīklos. Jaunākā identificētā Ebury versija ir 1.8.2.
Šie rīki ir paredzēti, lai ar dažādiem līdzekļiem gūtu peļņu no apdraudētajiem serveriem. Monetizācijas stratēģijas ietver kredītkaršu informācijas zādzību, kriptovalūtas zagšanu, trafika novirzīšanu, surogātpasta izplatīšanu un akreditācijas datu zādzību.
HelimodSteal, HelimodRedirect un HelimodProxy darbojas kā HTTP servera moduļi, lai pārtvertu HTTP POST pieprasījumus, novirzītu HTTP trafiku uz reklāmām un starpniekservera trafiku surogātpasta izplatīšanai. Grupa izmanto arī kodola moduli ar nosaukumu KernelRedirect, izmantojot Netfilter āķi, lai modificētu HTTP trafiku un iespējotu novirzīšanu. HelimodSteal ir īpaši izstrādāts, lai iegūtu tiešsaistes veikalos iesniegtos kredītkaršu datus, darbojoties kā servera puses tīmekļa skimmers, lai iegūtu šo sensitīvo informāciju no inficētajiem serveriem.
Uzbrucēji arī izmanto programmatūru, lai slēptu un atļautu ļaunprātīgu datplūsmu caur ugunsmūriem, kā arī Perl skriptus, lai veiktu liela mēroga uzbrukuma uzbrukumiem mitināšanas pakalpojumu sniedzēju datu centros. Tie ir vērsti uz vērtīgiem aktīviem, lai no makiem nozagtu kriptovalūtu.
