„Ebury“ veikia nuo 2009 m. ir šiuo metu veikia daugiau nei 400,000 XNUMX „Linux“ serverių

ESET paveikslėlis, kuriame rodomi pasikartojimai tarp Ebury nusikaltėlių ir medaus puodo

Prieš kelias dienas, ESET mokslininkai paskelbė publikaciją kuriuose jie sprendžia su susijusias veiklas "Ebury" rootkit. Anot pranešimo, Ebury veikia nuo 2009 m ir užkrėtė daugiau nei 400,000 2023 serverių, kuriuose veikia Linux, taip pat kelis šimtus FreeBSD, OpenBSD ir Solaris pagrįstų sistemų. ESET praneša, kad 110,000 m. pabaigoje Ebury vis dar buvo paveikta apie XNUMX XNUMX serverių.

Ši studija yra ypač aktualus dėl kernel.org atakos kuriame dalyvavo Ebury, atskleisdamas naujas detales dėl įsiskverbimo į Linux branduolio kūrimo infrastruktūrą 2011 m. Be to, Ebury buvo aptiktas domenų registracijos serveriuose, kriptovaliutų biržose, Tor išėjimo mazguose ir keliuose anoniminiuose prieglobos paslaugų teikėjuose.

Prieš dešimt metų padidinome informuotumą apie „Ebury“ paskelbdami baltąjį dokumentą, pavadintą „Operation Windigo“, kuriame buvo dokumentuota kampanija, kuri panaudojo „Linux“ kenkėjiškas programas siekiant finansinės naudos. Šiandien skelbiame tolesnį straipsnį apie tai, kaip „Ebury“ vystėsi ir apie naujas kenkėjiškų programų šeimas, kurias jos operatoriai naudoja siekdami užsidirbti pinigų iš „Linux“ serverio robotų tinklo.

Iš pradžių manyta, kad užpuolikai kad pakenkė kernel.org serveriams Jie liko nepastebėti 17 dienų. Tačiau, pasak ESET, šis laikotarpis buvo skaičiuojamas nuo „Phalanx“ rootkit įdiegimo.

Bet taip nebuvo, nes Ebury, kuris serveriuose jau buvo nuo 2009 m, ir tai leido root prieigą maždaug dvejus metus. „Ebury“ ir „Phalanx“ buvo įdiegti kaip skirtingų atakų dalis vykdė įvairios užpuolikų grupės. Ebury backdoor įdiegimas paveikė mažiausiai 4 kernel.org infrastruktūros serverius, iš kurių du buvo pažeisti ir nebuvo aptikti maždaug dvejus metus, o kiti du – 6 mėnesius.

Minima, kad Užpuolikams pavyko pasiekti 551 vartotojo slaptažodžių maišą saugomi /etc/shadow, įskaitant branduolio prižiūrėtojus. Šios sąskaitos Jie buvo naudojami norint pasiekti „Git“..

Po incidento buvo pakeisti slaptažodžiai, o prieigos modelis buvo peržiūrėtas įtraukiant skaitmeninius parašus. Iš 257 paveiktų vartotojų užpuolikai sugebėjo nustatyti slaptažodžius aiškiu tekstu, tikriausiai naudodami maišą ir perimdami slaptažodžius, kuriuos SSH naudoja kenkėjiškas Ebury komponentas.

Kenkėjiškas komponentas Ebury paplito kaip bendra biblioteka kuris perėmė funkcijas, naudojamas OpenSSH, kad užmegztų nuotolinius ryšius su sistemomis su root teisėmis. Ši ataka nebuvo specialiai nukreipta į kernel.org, todėl paveikti serveriai tapo botneto, naudojamo šlamštui siųsti, kredencialams vogti naudoti kitose sistemose, nukreipti žiniatinklio srautą ir vykdyti kitokią kenkėjišką veiklą, dalimi.

Pati Ebury kenkėjiškų programų šeima taip pat buvo atnaujinta. Naujas pagrindinis versijos naujinimas 1.8 pirmą kartą buvo pastebėtas 2023 m. pabaigoje. Tarp naujinimų yra nauji užmaskavimo būdai, naujas domeno generavimo algoritmas (DGA) ir vartotojo rootkit, kurį Ebury naudoja, kad pasislėptų nuo sistemos administratorių, patobulinimai. Kai aktyvus, procesas, failas, lizdas ir net skirta atmintis (6 pav.) yra paslėpti.

Norėdami įsiskverbti į serverius, Užpuolikai išnaudojo nepataisytas spragas serverio programinėje įrangoje, pvz., prieglobos skydelių gedimai ir perimti slaptažodžiai.

Be to, manoma, kad į kernel.org serverius buvo įsilaužta po to, kai buvo pažeistas vieno iš vartotojų, turinčių prieigą prie apvalkalo, slaptažodis, o pažeidžiamumas, pvz., Dirty COW, buvo panaudotas privilegijoms padidinti.

Paminėta, kad naujausiose Ebury versijose, be galinių durų, buvo papildomi Apache httpd moduliai, leidžiantys siųsti srautą per tarpinį serverį, peradresuoti vartotojus ir perimti konfidencialią informaciją. Jie taip pat turėjo branduolio modulį, skirtą keisti HTTP srautą, ir įrankius, skirtus paslėpti savo srautą nuo ugniasienės. Be to, jie įtraukė scenarijus, skirtus prieš vidurio (AitM) atakoms vykdyti, perimant SSH kredencialus prieglobos paslaugų teikėjų tinkluose.

Galiausiai, jei jus domina galimybė apie tai sužinoti daugiau, išsamią informaciją galite rasti sekanti nuoroda.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.