Ebury Botnet
Një botnet malware i quajtur Ebury ka infiltruar rreth 400,000 serverë Linux që nga viti 2009, me mbi 100,000 serverë të mbetur të rrezikuar që nga fundi i vitit 2023. Ky botnet njihet nga ekspertët e sigurisë kibernetike si një nga më të sofistikuarit për fushatat e përfitimit financiar nga serveri.
Aktorët pas Ebury janë angazhuar në aktivitete të ndryshme të fitimit të parave, të tilla si shpërndarja e postës së padëshiruar, ridrejtimi i trafikut në ueb dhe vjedhja e kredencialeve. Për më tepër, ata janë të përfshirë në vjedhjen e kriptomonedhave përmes sulmeve Man-in-the-Middle (MitM) dhe vjedhjes së kartave të kreditit përmes përgjimit të trafikut në rrjet, një teknikë që zakonisht referohet si skimim në ueb nga ana e serverit.
Tabela e Përmbajtjes
Kriminelët kibernetikë u kapën duke përdorur Ebury Botnet
Ebury u shfaq mbi dhjetë vjet më parë gjatë Operacionit Windigo, një fushatë që synonte kompromentimin e serverëve Linux. Ky operacion vendosi Ebury së bashku me mjete të tjera si Cdorked dhe Calfbot për të ridrejtuar trafikun në ueb dhe për të dërguar mesazhe të padëshiruara. Në gusht 2017, Maxim Senakh, një shtetas rus, u dënua me gati katër vjet burg në SHBA për përfshirjen e tij në zhvillimin dhe mirëmbajtjen e botnet-it Ebury.
Sipas Departamentit të Drejtësisë të SHBA-së, Senakh dhe bashkëpunëtorët e tij përdorën botnetin Ebury për të manipuluar trafikun e internetit për skema të ndryshme të mashtrimit me klikime dhe postë elektronike të padëshiruara. Kjo rezultoi në të ardhura mashtruese që arrinin në miliona dollarë. Si pjesë e lutjes së tij, Senakh pranoi se mbështeti sipërmarrjen kriminale duke krijuar llogari me regjistruesit e domenit për të zgjeruar infrastrukturën e botnet-it Ebury dhe përfitoi personalisht nga trafiku i krijuar prej tij.
Pajisjet e infektuara me Botnet Ebury nëpërmjet Vektorëve të Shumëllojshëm
Një hetim ka zbuluar taktika të shumta të përdorura nga sulmuesit për të shpërndarë Ebury, duke përfshirë vjedhjen e kredencialeve SSH, mbushjen e kredencialeve, infiltrimin e infrastrukturës së ofruesit të pritjes, shfrytëzimin e dobësive si defekti i Panelit të Uebit të Kontrollit CVE-2021-45467 dhe kryerja e SSH njeri në mes ( MitM) sulmet.
Për më tepër, aktorët e kërcënimit janë vërejtur duke përdorur identitete të rreme ose të vjedhura për të fshehur aktivitetet e tyre. Ata kanë komprometuar infrastrukturën e përdorur nga aktorë të tjerë me qëllim të keq, duke vendosur malware Ebury për të arritur objektivat e tyre dhe për të ngatërruar përpjekjet për t'i gjurmuar ato.
Për shembull, sulmuesit komprometuan serverët përgjegjës për mbledhjen e të dhënave nga Vidar Stealer. Ata përdorën identitete të vjedhura të fituara përmes Vidar Stealer për të marrë me qira infrastrukturën e serverëve dhe për të kryer aktivitete, duke mashtruar qëllimisht zbatimin e ligjit. Në një rast tjetër, Ebury u përdor për të shkelur sistemin e një prej autorëve të botnetit Mirai , duke marrë kodin përpara publikimit të tij.
Sulmuesit përdorën Ebury për të ofruar ngarkesa shtesë kërcënuese
Malware funksionon si një hajdut i kredencialeve të pasme dhe SSH, duke u mundësuar sulmuesve të prezantojnë ngarkesa shtesë si HelimodSteal, HelimodProxy dhe HelimodRedirect, duke zgjeruar kështu shtrirjen e tyre brenda rrjeteve të komprometuara. Versioni më i fundit i identifikuar i Ebury është 1.8.2.
Këto mjete janë të orientuara drejt fitimit të parave nga serverët e komprometuar përmes mjeteve të ndryshme. Strategjitë e fitimit të parave përfshijnë vjedhjen e informacionit të kartës së kreditit, vjedhjen e kriptomonedhave, ridrejtimin e trafikut, shpërndarjen e spam-it dhe vjedhjen e kredencialeve.
HelimodSteal, HelimodRedirect dhe HelimodProxy funksionojnë si module të serverit HTTP për të përgjuar kërkesat HTTP POST, për të ridrejtuar trafikun HTTP në reklama dhe për trafikun e përfaqësuesve për shpërndarjen e spamit. Grupi përdor gjithashtu një modul kernel të quajtur KernelRedirect, duke përdorur një goditje Netfilter për të modifikuar trafikun HTTP dhe për të mundësuar ridrejtimin. HelimodSteal është krijuar posaçërisht për të kapur të dhënat e kartës së kreditit të paraqitura në dyqanet në internet, duke vepruar si një skimmer në internet nga ana e serverit për të nxjerrë këtë informacion të ndjeshëm nga serverët e infektuar.
Sulmuesit përdorin gjithashtu softuer për të fshehur dhe lejuar trafikun keqdashës përmes mureve të zjarrit, së bashku me skriptet Perl, për sulme në shkallë të gjerë nga njeriu në mes brenda qendrave të të dhënave të ofruesve pritës. Ata synojnë asete të vlefshme për të vjedhur kriptovalutat nga kuletat.
