Поделиться
Ботнет из 2000-х «с русскими корнями» ломает сервера Linux и крадёт кредитные карты и криптовалюты
Ebury, ботнет существующий с 2009 г., продолжает вести активную вредоносную деятельность. На конец 2023 г. в него входили 100 тыс. взломанных серверов. Его первоначальный создатель был осужден.
Продвинутый воровской ботнет
Эксперты компании ESET объявили об обнаружении очень старого и крупного ботнета, который за 14 лет своего существования скомпрометировал более 400 тыс. серверов под управлением Linux. По состоянию на конец 2023 г. размеры ботнета Ebury оценивались в 100 тыс. скомпрометированных систем.
В ESET указывают, что серверный вредонос, используемый операторами ботнета для компрометации, относится к числу наиболее продвинутых. По крайней мере, если говорить о киберкампаниях, нацеленных исключительно на извлечение прибыли.
В анализе ESET указывается, что ботнет используется для рассылки спама, перенаправления веб-трафика, кражи реквизитов доступа, а также краже криптовалют и данных кредитных карт через перехват трафика на серверной стороне.
Ботнет впервые задокументировали более десятилетия назад. Тогда ESET выявила кампанию, получившую название Operation Windigo, в рамках которой распространялся не только основной программный агент Ebury, но и другие бэкдоры и скрипты (Cdorked, Calfbot и т.д.) для перенаправления трафика и рассылки спама.
В 2017 г. россиянин Максим Сенах угодил на четыре года в тюрьму в США за соучастие в создании этого ботнета (очевидно, к настоящему времени он уже на свободе).
Ботнет Ebury по-прежнему активен, причём сейчас его операторы, кем бы они ни были, поменяли подходы к распространению вредоносов и предпринимают немало усилий, чтобы скрыть свои личности и затруднить атрибуцию. В том числе, используют краденые SSH-сертификаты, взламывают инфраструктуру хостинг-провайдеров, производят через SSH атаки AiTM (Adversary-in-the-middle, противник посередине) и т.д.
Вор у вора дубинку украл
Наиболее любопытным приёмом оказывается использование вредоносов для компрометации инфраструктуры других злоумышленников - как раз для того, чтобы замаскировать свою деятельность.
В частности, эксперты ESET наблюдали как операторы Ebury компрометировали серверы вредоноса Vidal Stealer и ботнета Mirai (чей код они смогли украсть до его публикации).
Новейшие итерации Ebury могут функционировать и как бэкдор, и как средство похищения идентификационной информации, и как загрузчик для дополнительных вредоносов, таких как HelimodSteal, HelimodRedirect и HelimodProxy.
Всё это модули для сервера Apache HTTP, позволяющие перехватывать HTTP-запросы и перенаправлять трафик на рекламные объявления (для накруток), а также служить прокси при рассылке спама. HelimodSteal может заодно перехватывать данные кредитных карт.
Эксперты выявили также новый инструмент KernelRedirect, который использует «крюк» Netfilter для модификации и перенаправления веб-трафика.
Разработчики Ebury также приложили немало усилий для обеспечения скрытности вредоноса. Он использует целый ряд новых методик обфускации, новый алгоритм генерации доменов, а кроме того, может функционировать в качестве руткита пользовательского пространства при инъекции в шелл SSH-сессий.
Скрипты Perl, которыми снабжён вредонос, позволяют осуществлять масштабные AiTM-атаки в дата-центрах хостинг-провайдеров, и таким образом взламывать особенно ценные для злоумышленников мишени и красть криптовалюту, хранящуюся на этих серверах.
В ESET указывают, что при наличии доступа к серверам у злоумышленников появляется возможность использовать большой объём незашифрованного веб-трафика. Благодаря этому злоумышленники получают возможность скрытно перенаправлять трафик или перехватывать данные из онлайн-форм.
«Стоит отметить и то, что против веб-скимеров, функционирующих на серверной стороне, таких как HelimodSteal, не сработает такой традиционный метод защиты, как сквозное шифрование», - говорит Михаил Зайцев, эксперт по безопасности компании SEQ.
По его мнению, единственный рабочий способ - это защищать сам сервер от любых попыток компрометации.
По данным ESET, с февраля 2022 г. по май 2023 г. операторы Ebury взломали не менее 200 серверов в 75 сетях, располагающихся на территориях 34 стран мира.
Поделиться
Короткая ссылка
