Ebury-botnetten komprometterar över 400,000 Linux-servrar
ESET-forskare har släppt en djupgående undersökning av en av de mest avancerade server-sidiga malwarekampanjerna, Ebury, som fortfarande växer och har komprometterat hundratusentals servrar under minst 15 års tid.
Ebury-gruppen och deras botnet har genom åren spridit skräppost, omdirigerat webbtrafik och stulit inloggningsuppgifter. På senare år har de även börjat stjäla kreditkort och kryptovaluta. Ebury har fungerat som en bakdörr och komprometterat nästan 400,000 Linux-, FreeBSD- och OpenBSD-servrar, varav över 100,000 fortfarande var komprometterade i slutet av 2023. I många fall kunde Ebury-operatörerna få full tillgång till stora servrar hos internetleverantörer och välkända hostingföretag.
Ebury, som varit aktiv sedan minst 2009, är en OpenSSH-bakdörr och credential stealer. Den används för att distribuera ytterligare malware för att tjäna pengar på botnettet (som moduler för webbtrafikomdirigering), proxytrafik för skräppost, utföra adversary-in-the-middle-attacker (AitM) och vara värd för stödjande skadlig infrastruktur. I AitM-attacker har ESET observerat över 200 mål på mer än 75 nätverk i 34 länder mellan februari 2022 och maj 2023.
Operatörerna har använt Ebury-botnettet för att stjäla kryptovalutaplånböcker, inloggningsuppgifter och kreditkortsuppgifter. ESET har upptäckt nya malwarefamiljer som skapats och distribuerats av gruppen för ekonomisk vinning, inklusive Apache-moduler och en kärnmodul för att omdirigera webbtrafik. Ebury-operatörerna har också använt zero-day-sårbarheter i administratörsprogramvara för att kompromettera servrar i stor skala.
Efter att ett system har komprometterats exfiltreras flera detaljer. Genom att använda de kända lösenorden och nycklarna som erhållits på systemet försöker man logga in på relaterade system med dessa uppgifter. Varje ny huvudversion av Ebury introducerar viktiga förändringar, nya funktioner och fördunklingstekniker.
”Vi har dokumenterat fall där hostingföretagens infrastruktur har komprometterats av Ebury. I dessa fall har vi sett Ebury distribueras på servrar uthyrda av dessa leverantörer, utan varning till hyresgästerna. Detta resulterade i fall där Ebury-aktörerna kunde kompromettera tusentals servrar på en gång,” säger Marc-Etienne M. Léveillé, ESET-forskaren som undersökt Ebury i mer än ett decennium. Det finns ingen geografisk gräns för Ebury; det finns servrar komprometterade med Ebury i nästan alla länder i världen. När en hostingleverantör komprometterades ledde det till ett stort antal komprometterade servrar i samma datacenter.
Samtidigt verkar inga vertikaler vara mer målade än andra. Offren inkluderar universitet, små och stora företag, internetleverantörer, kryptovalutahandlare, Tor exit-noder, delade hostingföretag och dedikerade serverleverantörer, för att nämna några.
I slutet av 2019 komprometterades infrastrukturen hos en stor och populär domänregistrar och webhosting-leverantör i USA. Totalt komprometterades cirka 2,500 fysiska och 60,000 virtuella servrar av angriparna. En mycket stor del, om inte alla, av dessa servrar delas mellan flera användare för att vara värd för webbplatser för mer än 1,5 miljoner konton. I en annan incident komprometterades totalt 70,000 servrar från den hostingleverantören av Ebury 2023. Kernel.org, som är värd för källkoden till Linux-kärnan, har också varit ett offer för Ebury.
”Ebury utgör ett allvarligt hot och en utmaning för Linux-säkerhetsgemenskapen. Det finns ingen enkel fix som skulle göra Ebury ineffektiv, men en handfull åtgärder kan tillämpas för att minimera dess spridning och påverkan. En sak att inse är att det inte bara händer organisationer eller individer som bryr sig mindre om säkerhet. Många mycket tekniskt kunniga individer och stora organisationer finns bland offren,” avslutar Léveillé.
Artikel ovan bygger på data ifrån