Кілька днів тому, Дослідники ESET опублікували публікацію в якому вони звертаються до діяльності, пов’язаної з Руткіт “Ebury”. Згідно з повідомленням, Ebury діє з 2009 року і заразив понад 400,000 2023 серверів під управлінням Linux, а також кілька сотень систем на базі FreeBSD, OpenBSD і Solaris. ESET повідомляє, що на кінець 110,000 року Ebury все ще вражало близько XNUMX XNUMX серверів.
Ця студія особливо актуальна через атаку на kernel.org в якому брав участь Ебері, розкриття нових деталей щодо проникнення в інфраструктуру розробки ядра Linux у 2011 році. Крім того, Ebury було виявлено на серверах реєстрації доменів, криптобіржах, вузлах виходу Tor і кількох анонімних хостинг-провайдерах.
Десять років тому ми підвищили обізнаність про Ebury, опублікувавши білий документ під назвою «Операція Windigo», у якому задокументовано кампанію, яка використовувала зловмисне програмне забезпечення Linux для фінансової вигоди. Сьогодні ми публікуємо додаткову статтю про те, як розвивався Ebury та нові сімейства зловмисного програмного забезпечення, які його оператори використовують для монетизації свого серверного ботнету Linux.
Спочатку вважалося, що нападники які скомпрометували сервери kernel.org Вони залишалися непоміченими протягом 17 днів. Однак, за даними ESET, цей період розраховувався від встановлення руткіта Phalanx.
Але це було не так, оскільки Ebury, який вже був присутній на серверах з 2009 року, і це дозволило root-доступ приблизно на два роки. Ebury і Phalanx були встановлені в рамках різних атак здійснюються різними групами нападників. Встановлення бекдора Ebury вплинуло на щонайменше 4 сервери в інфраструктурі kernel.org, два з яких були скомпрометовані та не були виявлені протягом приблизно двох років, а інші два – протягом 6 місяців.
Згадується, що Зловмисникам вдалося отримати доступ до хешів паролів 551 користувача зберігається в /etc/shadow, включаючи засоби супроводу ядра. Ці рахунки Вони використовувалися для доступу до Git.
Після інциденту було внесено зміни до паролів і переглянуто модель доступу для включення цифрових підписів. З 257 постраждалих користувачів зловмисникам вдалося визначити паролі в відкритому вигляді, ймовірно, за допомогою хешів і перехоплення паролів, які використовуються в SSH шкідливим компонентом Ebury.
Шкідливий компонент Ebury розповсюджується як спільна бібліотека які перехоплювали функції, що використовуються в OpenSSH для встановлення віддалених з’єднань із системами з привілеями root. Ця атака не була спеціально спрямована на kernel.org, і в результаті уражені сервери стали частиною ботнету, який використовується для розсилки спаму, викрадення облікових даних для використання в інших системах, перенаправлення веб-трафіку та здійснення інших шкідливих дій.
Саме сімейство шкідливих програм Ebury також було оновлено. Нове основне оновлення версії 1.8 вперше було помічено наприкінці 2023 року. Серед оновлень — нові методи обфускації, новий алгоритм генерації домену (DGA) і вдосконалення руткіта користувача, який Ebury використовує для приховування від системних адміністраторів. Коли процес активний, процес, файл, сокет і навіть виділена пам'ять (рис. 6) приховані.
Щоб проникнути на сервери, Зловмисники використовували невиправлені вразливості в серверному програмному забезпеченні, наприклад збої в панелях хостингу та перехоплені паролі.
Крім того, припускається, що сервери kernel.org були зламані після зламу пароля одного з користувачів з доступом до оболонки, а уразливості, такі як Dirty COW, були використані для підвищення привілеїв.
Зазначається, що останні версії Ebury, крім бекдору, включали додаткові модулі для Apache httpd, що дозволяють відправляти трафік через проксі, перенаправляти користувачів і перехоплювати конфіденційну інформацію. У них також був модуль ядра для зміни трафіку HTTP під час передачі та інструменти для приховування власного трафіку від брандмауерів. Крім того, вони включили сценарії для здійснення атак Adversary-in-the-Middle (AitM), перехоплюючи облікові дані SSH у мережах хостинг-провайдерів.
Нарешті, якщо ви зацікавлені в тому, щоб дізнатися більше про це, ви можете ознайомитися з деталями в наступне посилання.