Ebury colpisce in silenzio: 400.000 server Linux compromessi dal 2009

La società di sicurezza ESET è tornata a porre l'attenzione - in realtà non ha mai interrotto il monitoraggio - sulla famiglia di malware Ebury. Dopo aver pubblicato dieci anni fa un white paper intitolato "Operation Windigo", in cui i ricercatori ESET documentavano una campagna che sfruttava il malware Linux per scopi di lucro, "Ebury si è evoluto" per continuare a colpire e permettere ai cybercriminali di "monetizzare la loro botnet di server Linux".

ESET spiega che nemmeno l'arresto e la condanna di uno dei responsabili di Ebury ha fermato l'espansione della botnet. Ebury, la backdoor OpenSSH e lo stealer di credenziali hanno continuato a essere aggiornati negli anni.

L'honeypot creato da ESET è stato scoperto, come dimostra il messaggio

Per tenere sotto controllo il malware, i ricercatori della società hanno creato degli honeypot, ossia dei computer sacrificali usato come trappola per attirare un attacco informatico, ma sono stati scoperti.

Nel 2021, la Dutch National High Tech Crime Unit (NHTCU) ha contattato ESET dopo aver trovato Ebury sul server di una vittima di un furto di criptovalute. Lavorando insieme, ESET è riuscita a ottenere ampia visibilità sulle attività recenti del gruppo e sul malware che utilizza.

Tra le vittime ci sono molti provider di hosting. La gang sfrutta il suo accesso all'infrastruttura del provider di hosting per installare Ebury su tutti i server affittati da quel provider.

"Come esperimento, abbiamo affittato un server virtuale da uno dei provider di hosting compromessi: Ebury è stato installato sul nostro server entro sette giorni", scrive ESET.

Un altro metodo di attacco perpetrato dalla gang è l'utilizzo di un adversary in the middle - AiTM, una forma di intercettazione e furto di dati - per intercettare il traffico SSH di obiettivi interessanti all'interno dei datacenter e reindirizzarlo a un server utilizzato per catturare le credenziali.

Gli operatori sfruttano i server compromessi nello stesso segmento di rete dell'obiettivo per eseguire lo spoofing ARP. Quest'ultima è una tecnica con cui un hacker invia falsi messaggi Address Resolution Protocol per ingannare gli altri dispositivi e far loro credere che stanno parlando con qualcun altro. Il malintenzionato può così intercettare i dati che passano tra due dispositivi.

Numero di nuovi server aggiunti alla botnet ogni mese. Viene mostrato con due scale sull'asse Y, per evidenziare alcuni dei principali casi in cui Ebury è stato distribuito su decine di migliaia di server contemporaneamente.

Secondo la telemetria, nel 2023 sono stati presi di mira più di 200 server. Tra gli obiettivi ci sono i nodi Bitcoin ed Ethereum. Ebury ruba automaticamente i portafogli di criptovaluta ospitati sul server una volta che la vittima digita la password per accedervi.

Complessivamente, circa 400.000 server sono stati compromessi da Ebury dal 2009 e più di 100.000 erano ancora compromessi alla fine del 2023.

ESET ha rilevato che anche la famiglia di malware Ebury è stata aggiornata. Il nuovo aggiornamento della versione principale, 1.8, è stato scovato per la prima volta alla fine dello scorso anno e ha introdotto nuove tecniche di offuscamento, un nuovo algoritmo di generazione del dominio (DGA) e miglioramenti nel rootkit userland utilizzato da Ebury per nascondersi agli amministratori di sistema. "Quando è attivo, il processo, il file, il socket e persino la memoria mappata sono nascosti", aggiunge ESET.

Per capire se un server è caduto nella rete di Ebury è possibile trovare indicatori di compromissione nel repository GitHub di ESET malware-ioc, mentre uno script di rilevamento è presente nel repository malware-research. Ulteriori informazioni su Ebury sono disponibili in uno studio approfondito pubblicato da ESET a questo indirizzo.