Ebury: Προηγμένη καμπάνια κακόβουλου λογισμικού διακομιστή Linux
Η ESET, μια εταιρεία κυβερνοασφάλειας από τη Σλοβακία, αποκάλυψε ότι το malware (κακόβουλο λογισμικό) botnet Ebury έχει παραβιάσει περισσότερους από 400.000 διακομιστές Linux από το 2009, με περισσότερους από 100.000 να έχουν μολυνθεί μέχρι τα τέλη του 2023
Το Ebury αναγνωρίζεται ως μία από τις πλέον προηγμένες καμπάνιες κακόβουλου λογισμικού, επικεντρωμένη στην εκμετάλλευση διακομιστών για την απόκτηση κέρδους. Εμπλέκεται σε μια ποικιλία κακόβουλων δραστηριοτήτων, όπως η εξάπλωση ανεπιθύμητων email, η ανακατεύθυνση διαδικτυακής κίνησης και η κλοπή διαπιστευτηρίων. Ο Ρώσος υπήκοος Maxim Senakh, καταδικάστηκε λόγω της εμπλοκής του στην ανάπτυξη του Ebury, η οποία εκτιμάται πως απέφερε εκατομμύρια δολάρια από απάτες με κλικ και ανεπιθύμητα μηνύματα.
Η έρευνα της ESET ανέδειξε ότι το Ebury διανέμεται μέσω ποικιλίας τεχνικών, περιλαμβάνοντας την κλοπή διαπιστευτηρίων SSH, την εκμετάλλευση τρωτών σημείων σε Web Control Panels και τις επιθέσεις Man-in-the-Middle μέσω SSH. Οι δράστες καταφεύγουν στη χρήση πλαστών ταυτοτήτων και διαπερνούν τις ασφαλιστικές υποδομές για να κρύψουν τις ενέργειές τους. Επιπλέον, το Ebury έχει χρησιμοποιηθεί για την απόκτηση του κώδικα του botnet Mirai και την ανάπτυξη πρόσθετων εργαλείων όπως HelimodSteal, HelimodRedirect και HelimodProxy, ενισχύοντας τη δυνατότητα παρείσδυσης σε δίκτυα.
Οι τελευταίες εκδόσεις του Ebury περιλαμβάνουν προηγμένες τεχνολογίες κρυπτογράφησης και δυνατότητες rootkit στο userland για να αποτρέπουν τον εντοπισμό τους. Τα modules Helimod εμποδίζουν την πρόσβαση HTTP για spam και ανακατεύθυνση διαφημίσεων, ενώ το KernelRedirect αλλάζει την πρόσβαση HTTP για τις δικές του ανακατευθύνσεις. Σενάρια Perl επιτρέπουν επιθέσεις SSH μεγάλης κλίμακας μέσω man-in-the-middle. Το Ebury και το FrizzySteal, που ενσωματώνονται στο libcurl, αποκτούν πρόσβαση σε οικονομικές πληροφορίες από διακομιστές που έχουν παραβιαστεί, παρακάμπτοντας την κρυπτογράφηση HTTPS.
Οι εισβολείς χρησιμοποιούν δημόσιους διακομιστές φιλοξενίας για την κλοπή μη κρυπτογραφημένων δεδομένων ιστού, κλέβοντας ευαίσθητες πληροφορίες που προωθούνται στο διαδίκτυο. Από τον Φεβρουάριο του 2022 έως τον Μάιο του 2023, επιτέθηκαν σε περίπου 200 διακομιστές σε 34 διαφορετικές χώρες. Τα εργαλεία του Ebury συμπεριλαμβάνουν μεθόδους για την παράκαμψη των τειχών προστασίας (firewall) και την κλοπή κρυπτονομισμάτων.
Συνολικά, το Ebury αντιπροσωπεύει μια σοβαρή απειλή για την ασφάλεια των διακομιστών, εφαρμόζοντας διάφορες στρατηγικές για να αποκτά κέρδη από παραβιασμένους διακομιστές και να αποφεύγει την ανίχνευση.
