Бесплатно Экспресс-аудит сайта:

16.05.2024

400 000 Linux-серверов пострадали от ботнета Ebury

Согласно недавнему отчёту компании ESET , с 2009 года ботнет Ebury заразил почти 400 000 Linux -серверов. На конец 2023 года около 100 000 серверов по-прежнему оставались под угрозой.

Исследователи ESET наблюдают за деятельностью Ebury уже более десяти лет. Значительные обновления вредоносного ПО они фиксировали в 2014 и 2017 годах. Недавняя операция правоохранительных органов Нидерландов позволила получить новые данные о деятельности «долгоиграющего» ботнета.

«Хотя 400 000 — это огромное число, важно понимать, что это общее количество заражений за почти 15 лет. Не все машины были заражены одновременно», — объясняют в ESET. «Постоянно появляются новые серверы, которые заражаются, пока другие очищаются или выводятся из эксплуатации».

Последние атаки Ebury направлены на взлом хостинг-провайдеров и проведение атак на цепочки поставок, затрагивающих клиентов, которые арендуют виртуальные серверы.

Первоначальный взлом осуществляется через атаки с использованием украденных учётных данных, а после компрометации вредоносное ПО крадёт списки SSH-подключений и аутентификационные ключи, чтобы получить доступ к другим системам.

«Если файл known_hosts содержит хешированную информацию, злоумышленники пытаются взломать его содержимое», — предупреждают эксперты ESET. «Из 4,8 миллиона записей, собранных операторами Ebury, около двух миллионов имели хешированные имена хостов. 40% из них были взломаны».

Атаки также могут использовать известные уязвимости в программном обеспечении серверов для повышения своих привилегий. Кроме того, инфраструктура хостинг-провайдеров эффективно используется злоумышленниками для распространения Ebury по контейнерам или виртуальным средам.

На следующем этапе операторы вредоносного ПО перехватывают SSH-трафик на целевых серверах, используя ARP-спуфинг. При входе пользователя на заражённый сервер через SSH, Ebury фиксирует его учётные данные.

Если серверы содержат криптовалютные кошельки, Ebury использует украденные учётные данные для автоматического опустошения этих кошельков. В 2023 году таким образом было атаковано не менее 200 серверов, включая узлы Bitcoin и Ethereum.

Более того, злоумышленники умудряются применять в своём ботнете стратегии монетизации, включающие кражу данных кредитных карт, перенаправление веб-трафика для получения дохода от рекламы и партнёрских программ, отправку спама и продажу украденных учётных данных.

В конце 2023 года ESET обнаружила новые методы обфускации и систему генерации доменов, которые позволяют ботнету избегать обнаружения и улучшать устойчивость к блокировкам. Кроме того, последние наблюдения показали использование следующих вредоносных модулей в деятельности ботнета Ebury:

  • HelimodProxy: прокси-сервер для пересылки спама;
  • HelimodRedirect: перенаправление HTTP-трафика на сайты злоумышленников;
  • HelimodSteal: кража данных из HTTP POST запросов;
  • KernelRedirect: модификация HTTP-трафика на уровне ядра;
  • FrizzySteal: перехват и кража данных из HTTP-запросов.

Расследование ESET проводилось в сотрудничестве с Нидерландским национальным подразделением по борьбе с киберпреступностью (NHTCU), которое конфисковало резервный сервер, используемый киберпреступниками.

Нидерландские власти сообщают, что операторы Ebury используют поддельные или украденные идентификации, иногда выдавая себя за других киберпреступников, чтобы запутать следствие. Расследование продолжается, но конкретных обвинений пока что выдвинуто не было.