Botnet Ebury
Od 2009 r. botnet zawierający szkodliwe oprogramowanie o nazwie Ebury przeniknął około 400 000 serwerów z systemem Linux, a według stanu na koniec 2023 r. ponad 100 000 serwerów pozostało zagrożonych. Eksperci ds. cyberbezpieczeństwa uznają ten botnet za jedną z najbardziej wyrafinowanych kampanii szkodliwego oprogramowania po stronie serwera, których celem jest osiągnięcie korzyści finansowych.
Podmioty stojące za Ebury zaangażowały się w różne działania monetyzacyjne, takie jak dystrybucja spamu, przekierowywanie ruchu internetowego i kradzież danych uwierzytelniających. Ponadto biorą udział w kradzieży kryptowalut poprzez ataki Man-in-the-Middle (MitM) i kradzieży kart kredytowych poprzez przechwytywanie ruchu sieciowego, technikę powszechnie określaną jako przeglądanie stron internetowych po stronie serwera.
Spis treści
Cyberprzestępcy przyłapani na obsłudze botnetu Ebury
Ebury pojawił się ponad dziesięć lat temu podczas operacji Windigo, kampanii mającej na celu złamanie zabezpieczeń serwerów Linux. W ramach tej operacji wdrożono Ebury wraz z innymi narzędziami, takimi jak Cdorked i Calfbot, do przekierowywania ruchu internetowego i wysyłania spamu. W sierpniu 2017 r. Maxim Senakh, obywatel Rosji, został skazany na prawie cztery lata więzienia w USA za udział w tworzeniu i utrzymywaniu botnetu Ebury.
Według Departamentu Sprawiedliwości Stanów Zjednoczonych Senakh i jego współpracownicy wykorzystali botnet Ebury do manipulowania ruchem internetowym w celu wykorzystania różnych schematów związanych z oszustwami związanymi z kliknięciami i spamem. Skutkiem tego były fałszywe dochody liczone w milionach dolarów. W ramach swojego zarzutu Senakh przyznał się do wspierania przestępczego przedsięwzięcia poprzez zakładanie kont u rejestratorów domen w celu rozbudowy infrastruktury botnetu Ebury i osobiście czerpał korzyści z generowanego przez niego ruchu.
Urządzenia zainfekowane botnetem Ebury za pośrednictwem wielu różnych wektorów
Dochodzenie ujawniło wiele taktyk stosowanych przez osoby atakujące w celu dystrybucji Ebury, w tym kradzież danych uwierzytelniających SSH, upychanie danych uwierzytelniających, infiltrowanie infrastruktury dostawcy usług hostingowych, wykorzystywanie luk w zabezpieczeniach, takich jak luka w panelu internetowym sterowania CVE-2021-45467, oraz przeprowadzanie protokołu SSH typu man-in-the-middle ( MitM) atakuje.
Ponadto zaobserwowano, że ugrupowania zagrażające wykorzystują fałszywe lub skradzione tożsamości w celu ukrycia swoich działań. Naruszyli infrastrukturę wykorzystywaną przez inne szkodliwe podmioty, wdrażając szkodliwe oprogramowanie Ebury, aby osiągnąć swoje cele, zakłócając wysiłki mające na celu ich śledzenie.
Napastnicy na przykład zhakowali serwery odpowiedzialne za zbieranie danych z Vidar Stealer. Wykorzystywali skradzioną tożsamość uzyskaną za pośrednictwem Vidar Stealer do wynajmowania infrastruktury serwerowej i prowadzenia działań, celowo wprowadzając w błąd organy ścigania. W innym przypadku Ebury został wykorzystany do włamania się do systemu jednego z autorów botnetu Mirai , uzyskując kod przed jego publicznym udostępnieniem.
Atakujący wykorzystali Ebury do dostarczenia dodatkowych groźnych ładunków
Szkodnik działa jak złodziej backdoorów i danych uwierzytelniających SSH, umożliwiając atakującym wprowadzenie dodatkowych ładunków, takich jak HelimodSteal, HelimodProxy i HelimodRedirect, zwiększając w ten sposób ich zasięg w zaatakowanych sieciach. Najnowsza zidentyfikowana wersja Ebury to 1.8.2.
Narzędzia te mają na celu zarabianie na zaatakowanych serwerach na różne sposoby. Strategie monetyzacji obejmują kradzież informacji o karcie kredytowej, kradzież kryptowalut, przekierowywanie ruchu, rozpowszechnianie spamu i kradzież danych uwierzytelniających.
HelimodSteal, HelimodRedirect i HelimodProxy działają jako moduły serwera HTTP do przechwytywania żądań HTTP POST, przekierowywania ruchu HTTP do reklam i ruchu proxy w celu dystrybucji spamu. Grupa wykorzystuje również moduł jądra o nazwie KernelRedirect, wykorzystujący hak Netfilter do modyfikowania ruchu HTTP i włączania przekierowań. HelimodSteal został specjalnie zaprojektowany do przechwytywania danych kart kredytowych przesyłanych do sklepów internetowych, działając jako skimmer sieciowy po stronie serwera w celu wyodrębnienia poufnych informacji z zainfekowanych serwerów.
Napastnicy wykorzystują także oprogramowanie do ukrywania i przepuszczania złośliwego ruchu przez zapory ogniowe, a także skrypty Perla, do przeprowadzania zakrojonych na szeroką skalę ataków typu man-in-the-middle w centrach danych dostawców usług hostingowych. Ich celem są cenne aktywa, aby ukraść kryptowalutę z portfeli.
