Ebury Botnet

ਈਬਰੀ ਨਾਮਕ ਇੱਕ ਮਾਲਵੇਅਰ ਬੋਟਨੈੱਟ ਨੇ 2009 ਤੋਂ ਲੈ ਕੇ ਹੁਣ ਤੱਕ ਲਗਭਗ 400,000 ਲੀਨਕਸ ਸਰਵਰਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕੀਤੀ ਹੈ, 2023 ਦੇ ਅਖੀਰ ਤੱਕ 100,000 ਤੋਂ ਵੱਧ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਬੋਟਨੈੱਟ ਨੂੰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ ਇੱਕ ਸਭ ਤੋਂ ਵਧੀਆ ਸਰਵਰ-ਸਾਈਡ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਵਿੱਚ ਵਿੱਤੀ ਲਾਭ ਵਜੋਂ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਹੈ।

Ebury ਦੇ ਪਿੱਛੇ ਅਦਾਕਾਰ ਵੱਖ-ਵੱਖ ਮੁਦਰੀਕਰਨ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਰੁੱਝੇ ਹੋਏ ਹਨ, ਜਿਵੇਂ ਕਿ ਸਪੈਮ ਵੰਡਣਾ, ਵੈੱਬ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰਨਾ, ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨਾ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹ ਮੈਨ-ਇਨ-ਦਿ-ਮਿਡਲ (MitM) ਹਮਲਿਆਂ ਅਤੇ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਇੰਟਰਸੈਪਸ਼ਨ ਦੁਆਰਾ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੀ ਚੋਰੀ ਰਾਹੀਂ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਦੀ ਚੋਰੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ, ਇੱਕ ਤਕਨੀਕ ਜਿਸ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਸਰਵਰ-ਸਾਈਡ ਵੈੱਬ ਸਕਿਮਿੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀ ਈਬਰੀ ਬੋਟਨੈੱਟ ਦਾ ਸੰਚਾਲਨ ਕਰਦੇ ਫੜੇ ਗਏ

ਈਬਰੀ ਦਸ ਸਾਲ ਪਹਿਲਾਂ ਓਪਰੇਸ਼ਨ ਵਿੰਡਿਗੋ ਦੇ ਦੌਰਾਨ ਉਭਰਿਆ, ਇੱਕ ਮੁਹਿੰਮ ਜਿਸਦਾ ਉਦੇਸ਼ ਲੀਨਕਸ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ ਸੀ। ਇਸ ਕਾਰਵਾਈ ਨੇ ਵੈਬ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਅਤੇ ਸਪੈਮ ਭੇਜਣ ਲਈ Cdorked ਅਤੇ Calfbot ਵਰਗੇ ਹੋਰ ਸਾਧਨਾਂ ਦੇ ਨਾਲ Ebury ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ। ਅਗਸਤ 2017 ਵਿੱਚ, ਮੈਕਸਿਮ ਸੇਨਾਖ, ਇੱਕ ਰੂਸੀ ਨਾਗਰਿਕ, ਨੂੰ ਏਬਰੀ ਬੋਟਨੈੱਟ ਦੇ ਵਿਕਾਸ ਅਤੇ ਰੱਖ-ਰਖਾਅ ਵਿੱਚ ਉਸਦੀ ਸ਼ਮੂਲੀਅਤ ਲਈ ਇੱਕ ਅਮਰੀਕੀ ਜੇਲ੍ਹ ਵਿੱਚ ਲਗਭਗ ਚਾਰ ਸਾਲ ਦੀ ਸਜ਼ਾ ਸੁਣਾਈ ਗਈ ਸੀ।

ਅਮਰੀਕੀ ਨਿਆਂ ਵਿਭਾਗ ਦੇ ਅਨੁਸਾਰ, ਸੇਨਾਖ ਅਤੇ ਉਸਦੇ ਸਹਿਯੋਗੀਆਂ ਨੇ ਵੱਖ-ਵੱਖ ਕਲਿੱਕ-ਧੋਖਾਧੜੀ ਅਤੇ ਸਪੈਮ ਈਮੇਲ ਸਕੀਮਾਂ ਲਈ ਇੰਟਰਨੈਟ ਟ੍ਰੈਫਿਕ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਈਬਰੀ ਬੋਟਨੈੱਟ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਇਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਲੱਖਾਂ ਡਾਲਰ ਦੀ ਰਕਮ ਦੀ ਧੋਖਾਧੜੀ ਹੋਈ। ਆਪਣੀ ਪਟੀਸ਼ਨ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, ਸੇਨਖ ਨੇ ਏਬਰੀ ਬੋਟਨੈੱਟ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਵਿਸਤਾਰ ਕਰਨ ਲਈ ਡੋਮੇਨ ਰਜਿਸਟਰਾਰਾਂ ਨਾਲ ਖਾਤੇ ਸਥਾਪਤ ਕਰਕੇ ਅਪਰਾਧਿਕ ਉੱਦਮ ਦਾ ਸਮਰਥਨ ਕਰਨ ਅਤੇ ਇਸ ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਟ੍ਰੈਫਿਕ ਤੋਂ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਲਾਭ ਪ੍ਰਾਪਤ ਕਰਨ ਦਾ ਇਕਬਾਲ ਕੀਤਾ।

Ebury Botnet ਕਈ ਵੱਖ-ਵੱਖ ਵੈਕਟਰਾਂ ਦੁਆਰਾ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ

ਇੱਕ ਜਾਂਚ ਨੇ ਈਬਰੀ ਨੂੰ ਵੰਡਣ ਲਈ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਗਏ ਕਈ ਚਾਲਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ SSH ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨਾ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਭਰਨਾ, ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨਾ, ਕੰਟਰੋਲ ਵੈੱਬ ਪੈਨਲ ਫਲਾਅ CVE-2021-45467 ਵਰਗੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ, ਅਤੇ SSH ਮੈਨ-ਇਨ-ਇਨ-ਇਨ ( MitM) ਹਮਲੇ.

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਜਾਅਲੀ ਜਾਂ ਚੋਰੀ ਪਛਾਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖੇ ਗਏ ਹਨ। ਉਹਨਾਂ ਨੇ ਦੂਜੇ ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਹੈ, ਉਹਨਾਂ ਦੇ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ Ebury ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਉਲਝਾ ਦਿੱਤਾ ਹੈ।

ਉਦਾਹਰਨ ਲਈ, ਹਮਲਾਵਰਾਂ ਨੇ ਵਿਦਾਰ ਸਟੀਲਰ ਤੋਂ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ। ਉਹਨਾਂ ਨੇ ਸਰਵਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਕਿਰਾਏ 'ਤੇ ਦੇਣ ਅਤੇ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਵਿਦਰ ਸਟੀਲਰ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੀ ਚੋਰੀ ਕੀਤੀ ਪਛਾਣ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਾਣਬੁੱਝ ਕੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਗੁੰਮਰਾਹ ਕੀਤਾ। ਇੱਕ ਹੋਰ ਮਾਮਲੇ ਵਿੱਚ, Ebury ਦੀ ਵਰਤੋਂ ਮੀਰਾਈ ਬੋਟਨੈੱਟ ਲੇਖਕਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੀ ਪ੍ਰਣਾਲੀ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ, ਇਸਦੇ ਜਨਤਕ ਰਿਲੀਜ਼ ਤੋਂ ਪਹਿਲਾਂ ਕੋਡ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਹਮਲਾਵਰਾਂ ਨੇ ਅਤਿਰਿਕਤ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਈਬਰੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ

ਮਾਲਵੇਅਰ ਬੈਕਡੋਰ ਅਤੇ SSH ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਾਧੂ ਪੇਲੋਡ ਜਿਵੇਂ ਕਿ HelimodSteal, HelimodProxy, ਅਤੇ HelimodRedirect ਪੇਸ਼ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਉਹਨਾਂ ਦੀ ਪਹੁੰਚ ਵਧ ਜਾਂਦੀ ਹੈ। Ebury ਦਾ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਸੰਸਕਰਣ ਪਛਾਣਿਆ ਗਿਆ 1.8.2 ਹੈ।

ਇਹ ਸਾਧਨ ਵੱਖ-ਵੱਖ ਸਾਧਨਾਂ ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਦਾ ਮੁਦਰੀਕਰਨ ਕਰਨ ਲਈ ਤਿਆਰ ਹਨ। ਮੁਦਰੀਕਰਨ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੀ ਜਾਣਕਾਰੀ ਦੀ ਚੋਰੀ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਚੋਰੀ, ਟ੍ਰੈਫਿਕ ਰੀਡਾਇਰੈਕਸ਼ਨ, ਸਪੈਮ ਪ੍ਰਸਾਰ, ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਚੋਰੀ ਸ਼ਾਮਲ ਹੈ।

HelimodSteal, HelimodRedirect, ਅਤੇ HelimodProxy HTTP ਸਰਵਰ ਮੋਡੀਊਲ ਦੇ ਤੌਰ ਤੇ HTTP POST ਬੇਨਤੀਆਂ ਨੂੰ ਰੋਕਣ ਲਈ, HTTP ਟ੍ਰੈਫਿਕ ਨੂੰ ਇਸ਼ਤਿਹਾਰਾਂ ਵਿੱਚ ਰੀਡਾਇਰੈਕਟ ਕਰਨ, ਅਤੇ ਸਪੈਮ ਵੰਡ ਲਈ ਪ੍ਰੌਕਸੀ ਟ੍ਰੈਫਿਕ ਦੇ ਤੌਰ ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ। ਗਰੁੱਪ KernelRedirect ਨਾਂ ਦੇ ਇੱਕ ਕਰਨਲ ਮੋਡੀਊਲ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦਾ ਹੈ, HTTP ਟ੍ਰੈਫਿਕ ਨੂੰ ਸੋਧਣ ਅਤੇ ਰੀਡਾਇਰੈਕਸ਼ਨ ਨੂੰ ਯੋਗ ਕਰਨ ਲਈ ਇੱਕ ਨੈੱਟਫਿਲਟਰ ਹੁੱਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। HelimodSteal ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਔਨਲਾਈਨ ਸਟੋਰਾਂ ਨੂੰ ਜਮ੍ਹਾਂ ਕਰਾਏ ਗਏ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਡੇਟਾ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਸੰਕਰਮਿਤ ਸਰਵਰਾਂ ਤੋਂ ਇਸ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਸਰਵਰ-ਸਾਈਡ ਵੈੱਬ ਸਕਿਮਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਹਮਲਾਵਰ ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾਵਾਂ ਦੇ ਡੇਟਾ ਸੈਂਟਰਾਂ ਦੇ ਅੰਦਰ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਮੈਨ-ਇਨ-ਦ-ਮਿਡਲ ਹਮਲਿਆਂ ਲਈ, ਪਰਲ ਸਕ੍ਰਿਪਟਾਂ ਦੇ ਨਾਲ, ਫਾਇਰਵਾਲਾਂ ਦੁਆਰਾ ਖਤਰਨਾਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਛੁਪਾਉਣ ਅਤੇ ਆਗਿਆ ਦੇਣ ਲਈ ਸੌਫਟਵੇਅਰ ਦਾ ਵੀ ਲਾਭ ਲੈਂਦੇ ਹਨ। ਉਹ ਵਾਲਿਟ ਤੋਂ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਚੋਰੀ ਕਰਨ ਲਈ ਕੀਮਤੀ ਸੰਪਤੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ।