Ботнет Ebury скомпрометировал 400 000 серверов Linux

Исследователи ESET опубликовали результаты глубокого расследования одной из самых продвинутых кампаний вредоносного ПО для серверов. Она продолжает развиваться и насчитывает сотни тысяч взломанных серверов за 15 лет своей работы.

Группа Ebury и ботнет на протяжении многих лет занимались распространением спама, перенаправлением веб-трафика и кражей учетных данных. В последние годы они переключились на кражу данных кредитных карт и криптовалюты.

Кроме того, Ebury использовался в качестве бэкдора для взлома почти 400 000 серверов Linux, FreeBSD и OpenBSD; более 100 000 серверов все еще были взломаны по состоянию на конец 2023 года. Во многих случаях операторы Ebury получали полный доступ к крупным серверам интернет-провайдеров и известных хостинг-провайдеров.

Ebury, действующий по меньшей мере с 2009 года, представляет собой бэкдор OpenSSH и программу для кражи учетных данных. Он используется для развертывания дополнительного вредоносного ПО для монетизации ботнета (например, модулей для перенаправления веб-трафика), проксирования трафика для спама, проведения атак «нарущитель посередине» (AitM) и размещения вспомогательной вредоносной инфраструктуры. В период с февраля 2022 года по май 2023 года ESET обнаружила более 200 целей в 75 сетях в 34 странах.

Операторы ботнета Ebury использовали его для кражи криптовалютных кошельков, учетных данных и информации о кредитных картах. ESET обнаружила новые семейства вредоносных программ, созданные и развернутые бандой для получения финансовой выгоды, включая модули Apache и модуль ядра для перенаправления веб-трафика. Операторы Ebury также использовали уязвимости нулевого дня в программном обеспечении администратора для массового взлома серверов.

После взлома системы происходит утечка информации. Используя известные пароли и ключи, полученные в этой системе, учетные данные повторно используются для попыток входа в другие системы. Каждая основная версия Ebury вносит важные изменения, новые функции и методы обфускации.

«Мы зафиксировали случаи, когда инфраструктура хостинг-провайдеров была взломана Ebury. В этих случаях мы видели, как Ebury разворачивалась на серверах, арендуемых этими провайдерами, без предупреждения арендаторов. Это привело к тому, что субъекты Ebury смогли скомпрометировать тысячи серверов одновременно. Для Ebury не существует географических границ: серверы, взломанные Ebury, есть практически во всех странах мира. Если взламывался хостинг-провайдер, это приводило к появлению огромного количества взломанных серверов в тех же дата-центрах.
- говорит Марк-Этьен М. Левейе, исследователь ESET, который занимался расследованием Ebury более десяти лет

Среди жертв – университеты, малые и крупные предприятия, интернет-провайдеры, криптовалютные трейдеры, узлы выхода из Tor, провайдеры виртуального хостинга, поставщики выделенных серверов и т. д.

В конце 2019 года была взломана инфраструктура крупного и популярного в США регистратора доменов и хостинг-провайдера. В общей сложности злоумышленники взломали около 2 500 физических и 60 000 виртуальных серверов. Значительная часть этих серверов, если не все, используются совместно несколькими пользователями для размещения веб-сайтов более чем 1,5 миллиона учетных записей. В другом инциденте в 2023 году Ebury взломала в общей сложности 70 000 серверов этого хостинг-провайдера. Сайт Kernel.org, на котором хранится исходный код ядра Linux, также стал жертвой Ebury.

«Ebury представляет собой серьезную угрозу и вызов сообществу специалистов по безопасности Linux. Не существует простого исправления, которое сделало бы Ebury неэффективным, но можно применить ряд мер, чтобы минимизировать его распространение и влияние. Следует понимать, что это происходит не только с организациями или отдельными людьми, которые не заботятся о безопасности. В число жертв попадает множество очень подкованных в технологиях людей и крупных организаций»
- заключает Левейе

Подробнее