Před pár dny, Výzkumníci společnosti ESET zveřejnili publikaci ve kterém řeší činnosti spojené s "Ebury" rootkit. Podle zprávy Ebury působí od roku 2009 a infikoval více než 400,000 2023 serverů se systémem Linux a také několik stovek systémů založených na FreeBSD, OpenBSD a Solaris. ESET uvádí, že na konci roku 110,000 bylo Ebury stále postiženo kolem XNUMX XNUMX serverů.
Toto studio je zvláště relevantní kvůli útoku na kernel.org ve kterém se Ebury podílel, odhalení nových detailů ohledně infiltrace infrastruktury vývoje jádra Linuxu v roce 2011. Kromě toho byl Ebury detekován na serverech pro registraci domén, krypto burzách, výstupních uzlech Tor a několika anonymních poskytovatelích hostingu.
Před deseti lety jsme zvýšili povědomí o Ebury zveřejněním bílé knihy nazvané Operation Windigo, která dokumentovala kampaň využívající linuxový malware k finančnímu zisku. Dnes publikujeme navazující článek o tom, jak se Ebury vyvíjela a o nových rodinách malwaru, které jeho provozovatelé používají ke zpeněžení botnetu svého linuxového serveru.
Zpočátku předpokládalo se, že útočníci které kompromitovaly servery kernel.org Zůstaly nezjištěny po dobu 17 dnů. Tato doba se však podle ESETu počítala od instalace rootkitu Phalanx.
Ale od té doby tomu tak nebylo Ebury, který byl na serverech již od roku 2009a to umožnilo přístup root na dva roky. Ebury a Phalanx byly instalovány jako součást různých útoků prováděné různými skupinami útočníků. Instalace zadních vrátek Ebury ovlivnila nejméně 4 servery v infrastruktuře kernel.org, z nichž dva byly kompromitovány a nezjištěny asi dva roky a další dva po dobu 6 měsíců.
Je zmíněno, že Útočníkům se podařilo získat přístup k heslům 551 uživatelů uloženy v /etc/shadow, včetně správců jádra. Tyto účty Byly použity pro přístup na Git.
Po incidentu byly provedeny změny hesel a model přístupu byl revidován tak, aby zahrnoval digitální podpisy. Z 257 postižených uživatelů se útočníkům podařilo určit hesla v čistém textu, pravděpodobně pomocí hashů a zachycením hesel používaných v SSH škodlivou komponentou Ebury.
Škodlivá složka Ebury se rozšířilo jako sdílená knihovna které zachytily funkce používané v OpenSSH k navazování vzdálených připojení k systémům s právy root. Tento útok nebyl specificky zaměřen na kernel.org a v důsledku toho se postižené servery staly součástí botnetu používaného k odesílání spamu, krádežím přihlašovacích údajů pro použití v jiných systémech, přesměrování webového provozu a provádění dalších škodlivých aktivit.
Aktualizována byla také samotná rodina malwaru Ebury. Nová hlavní aktualizace verze, 1.8, byla poprvé spatřena na konci roku 2023. Mezi aktualizacemi jsou nové techniky zmatku, nový algoritmus generování domény (DGA) a vylepšení uživatelského rootkitu, který Ebury používá ke skrytí před správci systému. Když je aktivní, proces, soubor, soket a dokonce i přidělená paměť (obrázek 6) jsou skryté.
Aby bylo možné infiltrovat servery, Útočníci využili neopravené zranitelnosti v serverovém softwaru, jako jsou selhání v hostování panelů a zachycená hesla.
Kromě toho se předpokládá, že servery kernel.org byly hacknuty po kompromitaci hesla jednoho z uživatelů s přístupem k shellu a zranitelnosti jako Dirty COW byly použity k eskalaci oprávnění.
Uvádí se, že nejnovější verze Ebury kromě zadních vrátek obsahovaly další moduly pro Apache httpd, které umožňovaly posílat provoz přes proxy, přesměrovávat uživatele a zachycovat důvěrné informace. Měli také modul jádra pro úpravu přenosu HTTP při přenosu a nástroje pro skrytí vlastního provozu před firewally. Kromě toho obsahovaly skripty pro provádění útoků Adversary-in-the-Middle (AitM), které zachycovaly přihlašovací údaje SSH v sítích poskytovatelů hostingu.
A konečně, pokud máte zájem dozvědět se o tom více, můžete se podívat na podrobnosti v následující odkaz.