Ebury je aktivan od 2009. godine i trenutno utječe na više od 400,000 Linux servera

Slika ESET-a koja prikazuje iteracije između počinitelja Eburyja i meda

Pre nekoliko dana, Istraživači ESET-a objavili su publikaciju u kojima se bave aktivnostima povezanim sa “Ebury” rootkit. Prema izvještaju, Ebury je aktivan od 2009 i zarazio je više od 400,000 servera koji koriste Linux, kao i nekoliko stotina FreeBSD, OpenBSD i Solaris sistema. ESET izvještava da je na kraju 2023. godine još uvijek bilo oko 110,000 servera pogođenih Eburyjem.

Ovaj studio je posebno relevantan zbog napada na kernel.org u koji je Ebury učestvovao, otkrivanje novih detalja u vezi sa infiltracijom razvojne infrastrukture Linux kernela u 2011. Uz to, Ebury je otkriven na serverima za registraciju domena, kripto berzi, izlaznim čvorovima Tor i nekoliko anonimnih hosting provajdera.

Prije deset godina podigli smo svijest o Eburyju objavljivanjem bijele knjige koju smo nazvali Operation Windigo, koja je dokumentirala kampanju koja je koristila Linux zlonamjerni softver radi finansijske dobiti. Danas objavljujemo naredni članak o tome kako je Ebury evoluirao i novim porodicama zlonamjernog softvera koje njegovi operateri koriste za unovčavanje svog Linux serverskog botneta.

U početku smatralo se da su napadači koji je kompromitovao kernel.org servere Ostali su neotkriveni 17 dana. Međutim, prema ESET-u, ovaj period je izračunat od instalacije Phalanx rootkita.

Ali to nije bio slučaj, pošto Ebury, koji je već bio prisutan na serverima od 2009. godine, i to je omogućilo root pristup oko dvije godine. Ebury i Phalanx su instalirani kao dio različitih napada koje su izvršile različite grupe napadača. Instalacija Ebury backdoor-a uticala je na najmanje 4 servera u infrastrukturi kernel.org, od kojih su dva bila kompromitovana i neotkrivena oko dvije godine, a druga dva u periodu od 6 mjeseci.

Spominje se da je Napadači su uspjeli pristupiti hešovima lozinki 551 korisnika pohranjeni u /etc/shadow, uključujući održavače kernela. Ovi računi Korišćeni su za pristup Gitu.

Nakon incidenta, izmijenjene su lozinke i revidiran je model pristupa kako bi se uključili digitalni potpisi. Od 257 pogođenih korisnika, napadači su uspjeli utvrditi lozinke u čistom tekstu, vjerovatno korištenjem hashova i presretanja lozinki koje u SSH koristi zlonamjerna komponenta Ebury.

Zlonamjerna komponenta Ebury se proširio kao zajednička biblioteka koji je presreo funkcije koje se koriste u OpenSSH-u za uspostavljanje udaljenih veza sa sistemima sa root privilegijama. Ovaj napad nije posebno ciljao kernel.org, i kao rezultat toga, zahvaćeni serveri su postali dio botneta koji se koristi za slanje neželjene pošte, krađu akreditiva za korištenje na drugim sistemima, preusmjeravanje web prometa i obavljanje drugih zlonamjernih aktivnosti.

Sama porodica malvera Ebury je takođe ažurirana. Nova velika verzija ažuriranja, 1.8, prvi put je viđena krajem 2023. Među ažuriranjima su nove tehnike zamamljivanja, novi algoritam za generisanje domena (DGA) i poboljšanja korisničkog rootkita koji koristi Ebury da bi se sakrio od administratora sistema. Kada je aktivan, proces, datoteka, utičnica, pa čak i dodijeljena memorija (slika 6) su skriveni.

Da bi se infiltrirao na servere, Napadači su iskoristili nezakrpljene ranjivosti u serverskom softveru, kao što su kvarovi u hosting panelima i presretnute lozinke.

Osim toga, pretpostavlja se da su serveri kernel.org hakovani nakon kompromitovanja lozinke jednog od korisnika sa pristupom ljusci, a ranjivosti kao što je Dirty COW su korištene za eskalaciju privilegija.

Spominje se da su najnovije verzije Eburyja, pored backdoor-a, uključivale i dodatne module za Apache httpd, koji su omogućavali slanje prometa preko proksija, preusmjeravanje korisnika i presretanje povjerljivih informacija. Takođe su imali modul kernela za modifikovanje HTTP saobraćaja u tranzitu i alate za skrivanje sopstvenog saobraćaja od zaštitnih zidova. Osim toga, uključili su skripte za izvođenje napada protivnik u sredini (AitM), presretanje SSH vjerodajnica na mrežama provajdera hostinga.

Konačno, ako ste zainteresovani da saznate više o tome, možete pogledati detalje u sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.