Ebury Botnet
O rețea botnet malware numită Ebury s-a infiltrat în aproximativ 400.000 de servere Linux din 2009, peste 100.000 de servere rămânând compromise la sfârșitul anului 2023. Această rețea botnet este recunoscută de experții în securitate cibernetică drept una dintre cele mai sofisticate campanii de malware la nivel de server care vizează câștiguri financiare.
Actorii din spatele lui Ebury s-au implicat în diverse activități de monetizare, cum ar fi distribuirea de spam, redirecționarea traficului web și furtul acreditărilor. În plus, aceștia sunt implicați în furtul de criptomonede prin atacuri Man-in-the-Middle (MitM) și furtul cărților de credit prin interceptarea traficului de rețea, o tehnică denumită în mod obișnuit skimming pe server.
Cuprins
Infractorii cibernetici au fost prinși exploatând botnetul Ebury
Ebury a apărut în urmă cu peste zece ani în timpul Operațiunii Windigo, o campanie menită să compromită serverele Linux. Această operațiune a implementat Ebury împreună cu alte instrumente precum Cdorked și Calfbot pentru a redirecționa traficul web și a trimite spam. În august 2017, Maxim Senakh, un cetățean rus, a fost condamnat la aproape patru ani de închisoare din SUA pentru implicarea sa în dezvoltarea și întreținerea rețelei bot Ebury.
Potrivit Departamentului de Justiție al SUA, Senakh și asociații săi au folosit botnet-ul Ebury pentru a manipula traficul de internet pentru diverse scheme de fraudă prin clicuri și spam. Acest lucru a dus la venituri frauduloase în valoare de milioane de dolari. Ca parte a pledoariei sale, Senakh a mărturisit că sprijină întreprinderea criminală prin crearea de conturi la registratorii de domenii pentru a extinde infrastructura botnetului Ebury și a profitat personal de traficul generat de aceasta.
Dispozitivele infectate Ebury Botnet prin numeroși vectori diferiți
O investigație a dezvăluit mai multe tactici folosite de atacatori pentru a distribui Ebury, inclusiv furtul de acreditări SSH, umplerea de acreditări, infiltrarea infrastructurii furnizorului de găzduire, exploatarea vulnerabilităților precum defectul Panoului web de control CVE-2021-45467 și efectuarea SSH man-in-the-middle ( MitM) atacuri.
În plus, au fost observați actori ai amenințărilor folosind identități false sau furate pentru a-și ascunde activitățile. Au compromis infrastructura folosită de alți actori rău intenționați, implementând malware-ul Ebury pentru a-și atinge obiectivele și a încurca eforturile de a le urmări.
De exemplu, atacatorii au compromis serverele responsabile cu colectarea datelor de la Vidar Stealer. Ei au folosit identități furate dobândite prin Vidar Stealer pentru a închiria infrastructura de server și pentru a desfășura activități, inducând în eroare intenționat forțele de ordine. Într-un alt caz, Ebury a fost folosit pentru a încălca sistemul unuia dintre autorii botnetului Mirai , obținând codul înainte de lansarea sa publică.
Atacatorii au folosit Ebury pentru a livra încărcături utile suplimentare amenințătoare
Malware-ul funcționează ca ușă în spate și hoț de acreditări SSH, permițând atacatorilor să introducă încărcături suplimentare precum HelimodSteal, HelimodProxy și HelimodRedirect, extinzându-și astfel raza în rețelele compromise. Cea mai recentă versiune de Ebury identificată este 1.8.2.
Aceste instrumente sunt orientate spre monetizarea serverelor compromise prin diferite mijloace. Strategiile de generare de bani includ furtul de informații despre cardul de credit, furtul de criptomonede, redirecționarea traficului, diseminarea de spam și furtul de acreditări.
HelimodSteal, HelimodRedirect și HelimodProxy funcționează ca module de server HTTP pentru a intercepta solicitările HTTP POST, a redirecționa traficul HTTP către reclame și a traficului proxy pentru distribuirea de spam. Grupul utilizează, de asemenea, un modul de kernel numit KernelRedirect, care utilizează un cârlig Netfilter pentru a modifica traficul HTTP și a activa redirecționarea. HelimodSteal este conceput special pentru a capta datele cardurilor de credit trimise magazinelor online, acționând ca un skimmer web pe partea de server pentru a extrage aceste informații sensibile de pe serverele infectate.
Atacatorii folosesc, de asemenea, software-ul pentru a ascunde și a permite traficul rău intenționat prin firewall-uri, împreună cu scripturile Perl, pentru atacuri la scară largă de tip man-in-the-middle în centrele de date ale furnizorilor de găzduire. Ei vizează active valoroase pentru a fura criptomonede din portofele.
