Mạng botnet Ebury
Một mạng botnet phần mềm độc hại có tên Ebury đã xâm nhập vào khoảng 400.000 máy chủ Linux kể từ năm 2009, với hơn 100.000 máy chủ vẫn bị xâm phạm tính đến cuối năm 2023. Mạng botnet này được các chuyên gia an ninh mạng công nhận là một trong những chiến dịch phần mềm độc hại phía máy chủ tinh vi nhất nhằm thu lợi tài chính.
Những kẻ đứng đằng sau Ebury đã tham gia vào nhiều hoạt động kiếm tiền khác nhau, chẳng hạn như phát tán thư rác, chuyển hướng lưu lượng truy cập Web và đánh cắp thông tin xác thực. Ngoài ra, họ còn tham gia vào hành vi trộm cắp tiền điện tử thông qua các cuộc tấn công Man-in-the-Middle (MitM) và đánh cắp thẻ tín dụng thông qua việc chặn lưu lượng truy cập mạng, một kỹ thuật thường được gọi là lướt web phía máy chủ.
Mục lục
Tội phạm mạng bị bắt khi vận hành Botnet Ebury
Ebury nổi lên hơn mười năm trước trong Chiến dịch Windigo, một chiến dịch nhằm xâm phạm các máy chủ Linux. Hoạt động này đã triển khai Ebury cùng với các công cụ khác như Cdorked và Calfbot để chuyển hướng lưu lượng truy cập web và gửi thư rác. Vào tháng 8 năm 2017, Maxim Senakh, một công dân Nga, đã bị kết án gần 4 năm tù tại Mỹ vì liên quan đến việc phát triển và duy trì mạng botnet Ebury.
Theo Bộ Tư pháp Hoa Kỳ, Senakh và các cộng sự của ông đã sử dụng mạng botnet Ebury để thao túng lưu lượng truy cập internet cho nhiều kế hoạch lừa đảo nhấp chuột và email spam khác nhau. Điều này dẫn đến doanh thu gian lận lên tới hàng triệu đô la. Là một phần trong lời bào chữa của mình, Senakh thú nhận đã hỗ trợ doanh nghiệp tội phạm bằng cách thiết lập tài khoản với các công ty đăng ký tên miền để mở rộng cơ sở hạ tầng mạng botnet Ebury và thu lợi cá nhân từ lưu lượng truy cập do nó tạo ra.
Các thiết bị bị nhiễm Botnet Ebury thông qua nhiều vectơ khác nhau
Một cuộc điều tra đã tiết lộ nhiều chiến thuật được những kẻ tấn công sử dụng để phân phối Ebury, bao gồm đánh cắp thông tin xác thực SSH, nhồi thông tin xác thực, xâm nhập vào cơ sở hạ tầng của nhà cung cấp dịch vụ lưu trữ, khai thác các lỗ hổng như lỗ hổng Control Web Panel CVE-2021-45467 và tiến hành SSH man-in-the-middle ( MitM) tấn công.
Ngoài ra, người ta còn quan sát thấy những kẻ đe dọa sử dụng danh tính giả hoặc bị đánh cắp để che giấu hoạt động của chúng. Họ đã xâm phạm cơ sở hạ tầng được các tác nhân độc hại khác sử dụng, triển khai phần mềm độc hại Ebury để đạt được mục tiêu và gây nhầm lẫn cho các nỗ lực truy tìm chúng.
Chẳng hạn, những kẻ tấn công đã xâm nhập vào các máy chủ chịu trách nhiệm thu thập dữ liệu từ Vidar Stealer. Họ sử dụng danh tính bị đánh cắp có được thông qua Vidar Stealer để thuê cơ sở hạ tầng máy chủ và thực hiện các hoạt động nhằm cố tình đánh lừa cơ quan thực thi pháp luật. Trong một trường hợp khác, Ebury đã được sử dụng để xâm phạm hệ thống của một trong những tác giả của botnet Mirai , lấy được mã trước khi phát hành rộng rãi.
Những kẻ tấn công đã sử dụng Ebury để cung cấp thêm tải trọng đe dọa
Phần mềm độc hại này hoạt động như một kẻ trộm thông tin cửa sau và SSH, cho phép kẻ tấn công giới thiệu các tải trọng bổ sung như HelimodSteal, HelimodProxy và HelimodRedirect, từ đó mở rộng phạm vi tiếp cận của chúng trong các mạng bị xâm nhập. Phiên bản mới nhất của Ebury được xác định là 1.8.2.
Những công cụ này hướng tới việc kiếm tiền từ các máy chủ bị xâm nhập thông qua nhiều phương tiện khác nhau. Các chiến lược kiếm tiền bao gồm đánh cắp thông tin thẻ tín dụng, ăn cắp tiền điện tử, chuyển hướng lưu lượng truy cập, phổ biến thư rác và đánh cắp thông tin xác thực.
HelimodSteal, HelimodRedirect và HelimodProxy hoạt động như các mô-đun máy chủ HTTP để chặn các yêu cầu HTTP POST, chuyển hướng lưu lượng HTTP đến quảng cáo và lưu lượng proxy để phát tán thư rác. Nhóm cũng sử dụng mô-đun hạt nhân có tên KernelRedirect, sử dụng móc Netfilter để sửa đổi lưu lượng HTTP và cho phép chuyển hướng. HelimodSteal được thiết kế đặc biệt để thu thập dữ liệu thẻ tín dụng được gửi đến các cửa hàng trực tuyến, hoạt động như một công cụ thu thập dữ liệu web phía máy chủ để trích xuất thông tin nhạy cảm này từ các máy chủ bị nhiễm.
Những kẻ tấn công cũng tận dụng phần mềm để che giấu và cho phép lưu lượng truy cập độc hại xuyên qua tường lửa, cùng với các tập lệnh Perl, để thực hiện các cuộc tấn công trung gian quy mô lớn trong trung tâm dữ liệu của nhà cung cấp dịch vụ lưu trữ. Họ nhắm mục tiêu vào các tài sản có giá trị để đánh cắp tiền điện tử từ ví.
