400.000 Linux Servers χτυπήθηκαν από το Ebury Botnet

[deniSun]

Αρχικά αποκαλύφθηκε το 2014, όταν ήταν ένα botnet με 25.000 συστήματα, το botnet Ebury επέζησε μιας προσπάθειας κατάρριψης και της καταδίκης του Maxim Senakh για τη συμμετοχή του στην επιχείρηση.

Ένα OpenSSH backdoor και κλέφτης διαπιστευτηρίων, το Ebury έχει λάβει συνεχείς ενημερώσεις και εκτιμάται ότι έχει μολύνει περισσότερους από 400.000 υπολογιστές από το 2009, εκμεταλλευόμενο τους για οικονομικό κέρδος, όπως δείχνει μια νέα έκθεση της ESET.

"Υπάρχει μια συνεχής εναλλαγή νέων διακομιστών που εκτίθενται σε κίνδυνο, ενώ άλλοι καθαρίζονται ή παροπλίζονται", σημειώνει η ESET, εξηγώντας ότι το botnet κορυφώθηκε στα 110.000 παγιδευμένα συστήματα το 2023, αφού παραβίασε έναν μεγάλο πάροχο φιλοξενίας και μόλυνε περίπου 70.000 διακομιστές.

Στην πραγματικότητα, πολλά από τα μολυσμένα συστήματα είναι διακομιστές που σχετίζονται με παρόχους φιλοξενίας, γεγονός που επέτρεψε στους επιτιθέμενους να υποκλέψουν την κυκλοφορία SSH ενδιαφερομένων στόχων και να την ανακατευθύνουν σε έναν ελεγχόμενο από τον επιτιθέμενο διακομιστή για να καταλάβουν τα διαπιστευτήρια σύνδεσης.

"Σχεδόν όλα τα μολυσμένα συστήματα είναι διακομιστές και όχι συσκευές τελικών χρηστών. Οι διακομιστές βοηθούν στη λειτουργία του διαδικτύου φιλοξενώντας ιστοσελίδες, ενεργώντας ως έγκυροι διακομιστές ονομάτων, εκτελώντας οικονομικές συναλλαγές κ.λπ.", επισημαίνει η ESET.

Επιπλέον, οι χειριστές κακόβουλου λογισμικού εθεάθησαν να στοχεύουν κόμβους εξόδου Tor μαζί με κόμβους Bitcoin και Ethereum για να κλέψουν πορτοφόλια κρυπτονομισμάτων που φιλοξενούνται σε αυτούς, καθώς και να κρυφακούσουν την κυκλοφορία του δικτύου για να κλέψουν δεδομένα πιστωτικών καρτών.

Σύμφωνα με την ESET, οι χειριστές του botnet είναι ιδιαίτερα δραστήριοι, χρησιμοποιώντας zero-days στο λογισμικό διαχειριστών για μαζική παραβίαση διακομιστών, στοχεύοντας τις υποδομές άλλων φορέων απειλών για να κλέψουν δεδομένα που έχουν εξαχθεί από τα θύματά τους και χρησιμοποιώντας νέο κακόβουλο λογισμικό για να πραγματοποιήσουν ανακατεύθυνση της διαδικτυακής κυκλοφορίας.

Το Ebury αναπτύσσεται στα παραβιασμένα συστήματα με προνόμια root, χρησιμοποιώντας τεχνικές όπως το γέμισμα διαπιστευτηρίων για να θέσει σε κίνδυνο τους κεντρικούς υπολογιστές, πρόσβαση σε hypervisors για να μολύνει όλα τα υποσυστήματα, παραβιασμένους παρόχους φιλοξενίας για να μολύνει όλους τους μισθωμένους διακομιστές και SSH adversary-in-the-middle (AitM).

Οι χειριστές του κακόβουλου λογισμικού εθεάθησαν επίσης να εκμεταλλεύονται σφάλματα μηδενικής ημέρας, όπως το CVE-2021-45467, ένα ζήτημα μη εξουσιοδοτημένης συμπερίληψης αρχείων στον πίνακα φιλοξενίας ιστοσελίδων Control Web Panel (CWP), και το CVE-2016-5195 (Dirty COW), μια κατάσταση αγώνα στον πυρήνα Linux που οδηγεί σε κλιμάκωση προνομίων.

Μεταξύ 2009 και 2011, το Ebury εγκαταστάθηκε σε τουλάχιστον τέσσερις διακομιστές που ανήκαν στο Linux Foundation, παρέχοντας στους χειριστές του πρόσβαση σε αρχεία που περιείχαν εκατοντάδες διαπιστευτήρια σύνδεσης.

Επιπλέον, οι διαχειριστές του botnet χρησιμοποίησαν ένα σενάριο Perl για να εντοπίζουν άλλους κλέφτες διαπιστευτηρίων OpenSSH και να συλλέγουν πληροφορίες από αυτούς. Επίσης, έθεσαν σε κίνδυνο την υποδομή που χρησιμοποιείται από άλλους κλέφτες, όπως διακομιστές που χρησιμοποιούνται από τον Vidar Stealer και το σύστημα ενός συγγραφέα του botnet Mirai.

Για την επιμονή, το κακόβουλο λογισμικό υποκλέπτει μια βιβλιοθήκη που εκτελείται όταν εκκινείται ένας πελάτης ή διακομιστής OpenSSH ή αντικαθιστά τα αρχικά δυαδικά αρχεία OpenSSH με backdoored εκδόσεις. Για να αποκρύψει την παρουσία του, το Ebury θέτει σε κίνδυνο όλες τις συνεδρίες SSH.

Το Ebury αποθηκεύει στη μνήμη πληροφορίες κατάστασης, ρυθμίσεις και διαπιστευτήρια που συλλέγονται, ενώ πρόσφατες εκδόσεις παρατηρήθηκαν να εισάγουν το FrizzySteal στη libcurl για να αποκρύψουν αιτήσεις HTTP POST που γίνονται από εφαρμογές που χρησιμοποιούν τη βιβλιοθήκη και να εισάγονται σε κελύφη που δημιουργούνται όταν συνδέονται μέσω ενός παραβιασμένου διακομιστή OpenSSH.

Αφού παραβιάσουν έναν διακομιστή, οι χειριστές του botnet συνδέονται σε αυτόν περιοδικά για να αποσπάσουν τα διαπιστευτήρια που έχουν συλλέξει. Εθεάθησαν επίσης να χρησιμοποιούν σενάρια για την αυτοματοποίηση λειτουργιών, όπως η συλλογή νέων ιδιωτικών κλειδιών SSH και μια λίστα με υπηρεσίες που εκτελούνται.

Οι εγκληματίες του κυβερνοχώρου εθεάθησαν επίσης να αναπτύσσουν κακόβουλο λογισμικό όπως το HelimodSteal και το HelimodRedirect για να κλέβουν αιτήματα HTTP ή να τα ανακατευθύνουν.

Η πρόσφατη δραστηριότητα της Ebury έδειξε μια στροφή στις τακτικές νομισματοποίησης, συμπεριλαμβανομένης της κλοπής δεδομένων κρυπτονομισμάτων και πιστωτικών καρτών, της αποστολής ανεπιθύμητων μηνυμάτων και της κλοπής διαπιστευτηρίων. Για το σκοπό αυτό, οι χειριστές χρησιμοποιούν συγκεκριμένες ενότητες Apache, μια ενότητα πυρήνα, εργαλεία για την απόκρυψη της κυκλοφορίας μέσω του τείχους προστασίας και σενάρια για την πραγματοποίηση επιθέσεων AitM.

Σύμφωνα με την ESET, οι χειριστές του Ebury έχουν πραγματοποιήσει επιθέσεις AitM εναντίον τουλάχιστον 200 στόχων σε 75 αυτόνομα συστήματα (AS) σε 34 χώρες, συμπεριλαμβανομένων προσβάσιμων κόμβων Bitcoin και Ethereum.

πηγή via DeepL

[bathan]

γέμισμα διαπιστευτηρίων

οι διαχειριστές του botnet χρησιμοποίησαν ένα σενάριο Perl

εισάγονται σε κελύφη

Οταν η μετάφραση σκοτώνει !!!!!

[deniSun]

Οταν η μετάφραση σκοτώνει !!!!!

Οι μεταφράσεις είναι σαν τις γυναίκες.
Όταν είναι ωραίες δεν είναι πιστές
και όταν είναι πιστές δεν είναι ωραίες.

Αρχαία Ινδική παροιμία.

Επίσης σκέψου ότι πλέον οι περισσότεροι αρθρογραφούν στην μητρική τους γλώσσα.
Και ότι ακόμα και εκεί θα δυσκολευόσουν να βγάλεις νόημα.
Βάλε τώρα την όλη διαδικασία.
μητρική γλώσσα <> Αγγλικά <> Ελληνικά.
Όσο να πεις... κάτι θα χάσεις.
Τι να σου κάνει και η τεχνολογία.