Linux tabanlı bir botnet hayatta ve iyi durumda; arkasındaki kilit faillerden birinin hapsedilmesinden yıllar sonra bile kripto para hırsızlığına ve mali dolandırıcılığa güç veriyor.
İlk kez 15 yıl önce keşfedilen Ebury botneti, yaklaşık 400.000 Linux, FreeBSD ve OpenBSD sunucusuna arka kapı açtı. Siber güvenlik tedarikçisi ESET’in yeni araştırmasına göre, 2023’ün sonları itibarıyla 100.000’den fazla sunucunun güvenliği ihlal edilmiş durumda.
Kurbanlar arasında üniversiteler, küçük ve büyük işletmeler, İnternet servis sağlayıcıları, kripto para birimi tüccarları, Tor çıkış düğümleri ve dünya çapındaki birçok barındırma sağlayıcısı yer alıyor.
Bir Tehdidin Anatomisi
Ebury, SSH anahtarları ve şifreleri gibi kimlik bilgilerini çalmak için kullanılan bir OpenSSH arka kapısıdır. Virüslü sunucuda, Web trafiğini yeniden yönlendirmek ve DNS ayarlarını değiştirmek için kullanılan bir HTTP arka kapısı olan Cdorked ve spam e-postaları göndermek için kullanılan bir Perl betiği olan Calfbot gibi ikincil kötü amaçlı yazılım modüllerinin dağıtımını kolaylaştıran bir arka kapı oluşturur.
Yıllar boyunca Ebury, diğer dolandırıcılıkların yanı sıra spam dağıtımı, Web trafiği yönlendirmeleri ve kimlik bilgileri hırsızlığı için bir platform olarak hizmet etti. Araştırmacılar, son zamanlarda botnet’i yöneten çetenin kredi kartı ve kripto para hırsızlığına yöneldiğini tespit etti.
Saldırganlar, veri merkezleri içindeki ilginç hedeflerin (Bitcoin ve Ethereum düğümleri dahil) SSH trafiğini engellemek ve ardından trafiği kendi kontrolleri altındaki bir sunucuya yönlendirmek için ortadaki düşman taktiklerini kullanıyor. Bu hafta açıklanan ESET’e göre, olası bir kurban, şifresini ele geçirilen sunucuda barındırılan bir kripto para cüzdanına yazdığında, Ebury bu cüzdanları otomatik olarak çalıyor. güncellenmiş araştırma ve bir Ebury botnet’i hakkındaki teknik inceleme.
Ayrıca potansiyel kredi kartı hırsızlığı rakiplerini ortadan kaldırmak için girişimlerde bulunuyor gibi görünüyorlar. Örnek olarak: Ebury kötü amaçlı yazılımı, BigBadWolf bankacılık Truva Atını tespit etmeye ve güvenliği ihlal edilmiş sistemlerden kaldırmaya çalışır.
Araştırmacılar, Ebury’nin operatörlerinin, sunucuları geniş ölçekte hacklemek ve kurban sunuculardan kimlik bilgilerini çıkarmak için sunucu yöneticisi yazılımında sıfır gün güvenlik açıklarını kullandığını buldu. Saldırganlar ayrıca ilgili sistemlere sızmak için bilinen şifreleri ve anahtarları kullanıyor ve bu da Ebury’yi ele geçirilen herhangi bir barındırma sağlayıcısından kiralanan birden fazla sunucuya gizlice kurmalarına olanak tanıyor.
Araştırmacılar, 2023 yılında bir barındırma sağlayıcısında toplam 70.000 sunucunun Ebury tarafından ele geçirildiğini söyledi.
Ebury’yi on yılı aşkın süredir araştıran ESET araştırmacısı Marc-Etienne M. Léveillé, “Bir barındırma sağlayıcısının güvenliği ihlal edildiğinde, bu aynı veri merkezlerinde çok sayıda sunucunun güvenliğinin ihlal edilmesine yol açtı” diye yazdı.
Ebury’nin belki de en meşhur kampanyalarından birinde, 2009’dan 20011’e kadar, Linux çekirdeğinin kaynak kodunu barındıran Kernel.org’u başarıyla hackledi. Bu dönemde Kernel.org’un geliştirici SSH şifrelerinin yarısı çalındı.
Polisler ve soyguncular
2014 yılında ESET, Hollanda polisiyle birlikte çalışarak Hollanda’daki sunucuların Ebury kötü amaçlı yazılımının ele geçirildiğinden şüphelenildiği bir soruşturma başlattığını açıklamıştı. Ardından 2015 yılında Ebury faillerinden Rus vatandaşı Maxim Senak, Finlandiya-Rusya sınırında tutuklanarak ABD’ye iade edildi. Sonunda dolandırıcılıktan suçlu bulundu ve 2017 yılında bilgisayar korsanlığı suçlamasıyla 46 ay hapis cezasına çarptırıldı.
O zamandan beri Ebury’nin geri kalan dehaları dikkat çekmedi. ESET’ten Léveillé, gönderisinde, etkinliklerinin reklamını yapmadıklarını ve Dark Net forumlarındaki güvenliği ihlal edilmiş sistemlere “erişim satmaya çalıştıklarını hiç görmedik” diye yazdı.
Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHTCU), 2021’de Ebury’yi bir kripto para hırsızlığı kurbanının sunucusunda bulduktan sonra ESET ile temasa geçti. Emniyet teşkilatının Ebury’ye yönelik soruşturması devam ediyor.
Linux’u Ebury’den Korumak
Ebury kötü amaçlı yazılım operatörleri düzenli olarak yeni özellikler ekler. Bu yılın başlarında tespit edilen en son sürüm 1.8.2, yeni gizleme tekniklerini, yeni bir etki alanı oluşturma algoritmasını ve daha gizli bir rootkit işlevselliğini bir araya getiriyor.
ESET bu hafta sistem yöneticilerinin, sistemlerinin Ebury tarafından ele geçirilip geçirilmediğini belirlemelerine yardımcı olacak bir dizi tespit ve düzeltme aracı yayınladı.
ESET, Ebury enfeksiyonu için temizleme işlemlerinin önemsiz olmadığı konusunda uyarıyor. ESET’in baş tehdit istihbaratı araştırmacısı Robert Lipovsky, Dark Reading’e, sistem yöneticileri virüslü sunucularını temizleseler bile, Ebury’nin arkasındaki siber suçluların, ele geçirilen kimlik bilgilerinin yeniden kullanılması durumunda kötü amaçlı yazılımı yeniden yükleyebileceğini söyledi.
SSH sunucularına çok faktörlü kimlik doğrulama eklemek için araçlar mevcut olsa da dağıtım basit değildir, dolayısıyla sistem yöneticileri genellikle bu ekstra güvenlik düzeyini atlar. ESET’ten Léveillé, Dark Reading’e şunları söyledi: “Ebury’nin yarattığı devam eden sorunlar, Linux tabanlı sunucu tarafı tehditlerine ilişkin görünürlük eksikliğini gösteriyor.”