Botnet Ebury
Malvérový botnet s názvom Ebury infiltroval od roku 2009 okolo 400 000 linuxových serverov, pričom ku koncu roku 2023 zostalo ohrozených viac ako 100 000 serverov. Tento botnet je odborníkmi na kybernetickú bezpečnosť uznávaný ako jedna z najsofistikovanejších malvérových kampaní na strane servera zameraných na finančný zisk.
Aktéri stojaci za Ebury sa zapojili do rôznych speňažovacích aktivít, ako je distribúcia spamu, presmerovanie webovej prevádzky a krádeže poverení. Okrem toho sa podieľajú na krádeži kryptomien prostredníctvom útokov Man-in-the-Middle (MitM) a krádeži kreditných kariet prostredníctvom zachytenia sieťovej prevádzky, čo je technika bežne označovaná ako webový skimming na strane servera.
Obsah
Kyberzločinci boli prichytení pri prevádzkovaní botnetu Ebury
Ebury sa objavil pred viac ako desiatimi rokmi počas operácie Windigo, kampane zameranej na kompromitovanie linuxových serverov. Táto operácia nasadila Ebury spolu s ďalšími nástrojmi, ako sú Cdorked a Calfbot, na presmerovanie webovej prevádzky a odosielanie spamu. V auguste 2017 bol Maxim Senakh, ruský štátny príslušník, odsúdený na takmer štyri roky väzenia v USA za účasť na vývoji a údržbe botnetu Ebury.
Senakh a jeho spoločníci podľa amerického ministerstva spravodlivosti využili botnet Ebury na manipuláciu internetovej prevádzky pre rôzne podvodné kliknutia a spamové e-mailové schémy. Výsledkom boli podvodné príjmy vo výške miliónov dolárov. Ako súčasť svojej prosby sa Senakh priznal k podpore zločineckého podnikania založením účtov u registrátorov domén na rozšírenie infraštruktúry botnetu Ebury a osobne profitoval z návštevnosti, ktorú generuje.
Zariadenia infikované botnetom Ebury prostredníctvom mnohých rôznych vektorov
Vyšetrovanie odhalilo viacero taktík používaných útočníkmi na distribúciu Ebury, vrátane krádeže poverení SSH, napĺňania poverení, infiltrácie infraštruktúry poskytovateľa hostingu, zneužívania zraniteľností, ako je chyba ovládacieho panela CVE-2021-45467, a vykonávania SSH man-in-the-middle ( MitM) útoky.
Okrem toho boli aktéri hrozieb pozorovaní, ako používajú falošné alebo ukradnuté identity na zakrytie svojich aktivít. Kompromitovali infraštruktúru, ktorú používajú iní záškodníci, nasadili malvér Ebury na dosiahnutie svojich cieľov a zmiatli snahy o ich sledovanie.
Útočníci napríklad napadli servery zodpovedné za zhromažďovanie údajov z Vidar Stealer. Použili ukradnuté identity získané prostredníctvom Vidar Stealer na prenájom serverovej infraštruktúry a vykonávanie činností, čím úmyselne zavádzali orgány činné v trestnom konaní. V inom prípade bol Ebury použitý na prelomenie systému jedného z autorov botnetu Mirai , pričom kód získal ešte pred jeho zverejnením.
Útočníci využili Ebury na dodanie ďalších hrozivých nákladov
Malvér funguje ako backdoor a zlodej poverení SSH, čo útočníkom umožňuje zaviesť ďalšie užitočné zaťaženie, ako sú HelimodSteal, HelimodProxy a HelimodRedirect, čím sa rozširuje ich dosah v napadnutých sieťach. Najnovšia identifikovaná verzia Ebury je 1.8.2.
Tieto nástroje sú zamerané na speňaženie napadnutých serverov rôznymi spôsobmi. Stratégie speňaženia zahŕňajú krádež informácií o kreditných kartách, krádeže kryptomien, presmerovanie prevádzky, šírenie spamu a krádeže poverení.
HelimodSteal, HelimodRedirect a HelimodProxy fungujú ako moduly servera HTTP na zachytenie požiadaviek HTTP POST, presmerovanie prenosu HTTP na reklamy a prenosu proxy na distribúciu spamu. Skupina tiež využíva modul jadra s názvom KernelRedirect, ktorý využíva háčik Netfilter na úpravu prenosu HTTP a povolenie presmerovania. HelimodSteal je špeciálne navrhnutý na zachytávanie údajov o kreditných kartách odoslaných do online obchodov a funguje ako webový skimmer na strane servera na extrahovanie týchto citlivých informácií z infikovaných serverov.
Útočníci tiež využívajú softvér na ukrytie a povolenie škodlivej prevádzky cez firewally spolu so skriptami v jazyku Perl na rozsiahle útoky typu man-in-the-middle v dátových centrách poskytovateľov hostingu. Zameriavajú sa na cenné aktíva, aby ukradli kryptomenu z peňaženiek.
