Ebury Botnet
Botnet z zlonamerno programsko opremo, imenovan Ebury, se je od leta 2009 infiltriral v okoli 400.000 strežnikov Linux, pri čemer je do konca leta 2023 ostalo ogroženih več kot 100.000 strežnikov. Strokovnjaki za kibernetsko varnost priznavajo ta botnet kot eno najbolj izpopolnjenih kampanj z zlonamerno programsko opremo na strani strežnika, katerih cilj je finančni dobiček.
Akterji, ki stojijo za Eburyjem, so sodelovali pri različnih dejavnostih monetizacije, kot so distribucija neželene pošte, preusmerjanje spletnega prometa in kraja poverilnic. Poleg tega so vpleteni v krajo kriptovalut z napadi Man-in-the-Middle (MitM) in krajo kreditnih kartic s prestrezanjem omrežnega prometa, tehniko, ki se običajno imenuje spletno posnemanje na strani strežnika.
Kazalo
Kibernetski kriminalci so bili ujeti pri upravljanju botneta Ebury
Ebury se je pojavil pred več kot desetimi leti med operacijo Windigo, kampanjo, katere cilj je bil ogrožanje strežnikov Linux. Ta operacija je uvedla Ebury skupaj z drugimi orodji, kot sta Cdorked in Calfbot, za preusmerjanje spletnega prometa in pošiljanje neželene pošte. Avgusta 2017 je bil Maxim Senakh, ruski državljan, obsojen na skoraj štiri leta zapora v ZDA zaradi sodelovanja pri razvoju in vzdrževanju botneta Ebury.
Senakh in njegovi sodelavci so uporabili botnet Ebury za manipulacijo internetnega prometa za različne goljufije s kliki in neželeno e-pošto, poroča ministrstvo za pravosodje ZDA. To je povzročilo goljufive prihodke v višini milijonov dolarjev. Kot del svoje krivde je Senakh priznal, da je podpiral kriminalni podvig z vzpostavitvijo računov pri registratorjih domen za razširitev botnetne infrastrukture Ebury in osebno profitiral od prometa, ki ga je ustvaril.
Naprave, okužene z botnetom Ebury prek številnih različnih vektorjev
Preiskava je razkrila več taktik, ki so jih napadalci uporabili za distribucijo Eburyja, vključno s krajo poverilnic SSH, polnjenjem poverilnic, infiltracijo v infrastrukturo ponudnika gostovanja, izkoriščanjem ranljivosti, kot je napaka nadzorne spletne plošče CVE-2021-45467, in izvajanjem SSH man-in-the-middle ( MitM) napadi.
Poleg tega so opazili, da akterji groženj uporabljajo lažne ali ukradene identitete za prikrivanje svojih dejavnosti. Ogrozili so infrastrukturo, ki jo uporabljajo drugi zlonamerni akterji, z uporabo zlonamerne programske opreme Ebury za dosego svojih ciljev in zmedejo prizadevanja za njihovo sledenje.
Napadalci so na primer ogrozili strežnike, odgovorne za zbiranje podatkov iz programa Vidar Stealer. Uporabili so ukradene identitete, pridobljene prek Vidar Stealerja, za najem strežniške infrastrukture in izvajanje dejavnosti, pri čemer so namerno zavajali organe pregona. V drugem primeru je bil Ebury uporabljen za vdor v sistem enega od avtorjev botneta Mirai , pri čemer je pridobil kodo pred javno objavo.
Napadalci so uporabili Ebury za dostavo dodatnega nevarnega tovora
Zlonamerna programska oprema deluje kot backdoor in tat poverilnic SSH, kar napadalcem omogoča, da uvedejo dodatne obremenitve, kot so HelimodSteal, HelimodProxy in HelimodRedirect, s čimer razširijo svoj doseg znotraj ogroženih omrežij. Najnovejša identificirana različica Eburyja je 1.8.2.
Ta orodja so usmerjena v monetizacijo ogroženih strežnikov na različne načine. Strategije monetizacije vključujejo krajo podatkov o kreditni kartici, krajo kriptovalut, preusmerjanje prometa, razširjanje neželene pošte in krajo poverilnic.
HelimodSteal, HelimodRedirect in HelimodProxy delujejo kot strežniški moduli HTTP za prestrezanje zahtev HTTP POST, preusmerjanje prometa HTTP na oglase in promet proxy za distribucijo neželene pošte. Skupina uporablja tudi modul jedra z imenom KernelRedirect, ki uporablja kljuko Netfilter za spreminjanje prometa HTTP in omogočanje preusmeritve. HelimodSteal je posebej zasnovan za zajemanje podatkov o kreditnih karticah, poslanih spletnim trgovinam, in deluje kot spletni skimmer na strani strežnika za pridobivanje teh občutljivih informacij iz okuženih strežnikov.
Napadalci prav tako uporabljajo programsko opremo za prikrivanje in dovoljenje zlonamernega prometa prek požarnih zidov, skupaj s skripti Perl, za obsežne napade »človek v sredini« v podatkovnih centrih ponudnikov gostovanja. Ciljajo na dragocena sredstva za krajo kriptovalute iz denarnic.
