Разширяването на ботнета Ebury Linux продължава без прекъсване през последното десетилетие, като в края на 2023 г. са идентифицирани приблизително 100 000 заразени системи, съобщава ESET.

Първоначално разкрит през 2014 г., когато ботнетът наброява 25 000 системи, Ebury оцелява след опит за разбиване и осъждането на Максим Сенах за участието му в операцията.

Представляващ задна врата за OpenSSH и крадец на удостоверения, Ebury е получавал постоянни актуализации и се смята, че от 2009 г. насам е заразил над 400 000 хоста, злоупотребявайки с тях за финансова изгода, показва новият доклад на ESET (PDF).

„Налице е постоянна вълна от нови сървъри, които се компрометират, докато други се почистват или извеждат от експлоатация“, отбелязва ESET, като обяснява, че ботнетът е достигнал своя пик от 110 000 завладени системи през 2023 г., след като е компрометирал голям хостинг доставчик и е заразил около 70 000 сървъра.

Всъщност много от заразените системи са сървъри, отнасящи се до доставчици на хостинг, което е позволило на нападателите да прихванат SSH трафика на интересните цели и да го пренасочат към контролиран от нападателя сървър, за да прихванат идентификационните данни за вход.

„Почти всички компрометирани системи са сървъри, а не крайни потребителски устройства. Сървърите помагат за управлението на интернет, като хостват уеб страници, действат като авторитетни сървъри за имена, извършват финансови транзакции и т.н.“, посочва ESET.

Освен това е забелязано, че операторите на зловредния софтуер се насочват към Tor изходни възли заедно с Bitcoin и Ethereum възли, за да откраднат хостваните на тях портфейли за криптовалута, както и да подслушват мрежовия трафик, за да откраднат данни за кредитни карти.

Според ESET операторите на ботнета са изключително активни, като използват нулеви дни в администраторския софтуер за масово компрометиране на сървъри, насочват се към инфраструктурата на други заплахи, за да крадат данни, ексфилтрирани от техните жертви, и използват нов зловреден софтуер, за да извършват пренасочване на уеб трафика.

Ebury се внедрява в компрометираните системи с привилегии на root, като се използват техники като credential stuffing за компрометиране на хостовете, достъп до хипервайзори за заразяване на всички подсистеми, компрометирани доставчици на хостинг за заразяване на всички наети сървъри и SSH adversary-in-the-middle (AitM).

Операторите на зловредния софтуер са забелязани да използват и бъгове от типа „нулев ден“, като CVE-2021-45467 – проблем с неавтентифицирано включване на файлове в панела за уеб хостинг Control Web Panel (CWP), и CVE-2016-5195 (Dirty COW) – състояние на надпревара в ядрото на Linux, водещо до повишаване на привилегиите.

Между 2009 и 2011 г. Ebury е бил инсталиран на поне четири сървъра, принадлежащи на Linux Foundation, като е предоставил на операторите си достъп до файлове, съдържащи стотици данни за вход.

Освен това операторите на ботнета са използвали скрипт на Perl, за да откриват други крадци на идентификационни данни OpenSSH и да събират информация от тях. Те компрометирали и инфраструктурата, използвана от други крадци, като например сървъри, използвани от Vidar Stealer, и системата на автора на ботнета Mirai.

За устойчивост зловредният софтуер отвлича библиотека, която да се изпълнява при стартиране на клиент или сървър на OpenSSH, или заменя оригиналните двоични файлове на OpenSSH със задни версии. За да скрие присъствието си, Ebury компрометира всички SSH сесии.

Ebury съхранява в паметта информация за състоянието, конфигурацията и събраните пълномощни, а последните версии са наблюдавани да инжектират FrizzySteal в libcurl, за да екфилтрират HTTP POST заявки, направени от приложения, използващи библиотеката, и да се инжектират в шелове, породени при свързване чрез компрометиран OpenSSH сървър.

След като компрометират сървъра, операторите на ботнета се свързват периодично с него, за да екфилтрират събраните идентификационни данни. Те също така са забелязани да използват скриптове за автоматизиране на функции, като например събиране на нови частни ключове SSH и списък на работещите услуги.

Киберпрестъпниците са забелязани да използват и зловреден софтуер като HelimodSteal и HelimodRedirect, за да крадат HTTP заявки или да ги пренасочват.

Неотдавнашната активност на Ebury показва промяна в тактиките за монетизиране, включително кражба на криптовалута и данни от кредитни карти, изпращане на спам и кражба на удостоверения. За тази цел операторите използват специфични модули на Apache, модул на ядрото, инструменти за скриване на трафика през защитната стена и скриптове за осъществяване на AitM атаки.

Според ESET операторите на Ebury са монтирали AitM атаки срещу най-малко 200 цели в 75 автономни системи (AS) в 34 държави, включително достижими Bitcoin и Ethereum възли.