Botnet d'Ebury
Un botnet de logiciels malveillants nommé Ebury a infiltré environ 400 000 serveurs Linux depuis 2009, et plus de 100 000 serveurs restaient compromis fin 2023. Ce botnet est reconnu par les experts en cybersécurité comme l'une des campagnes de logiciels malveillants côté serveur les plus sophistiquées visant à obtenir un gain financier.
Les acteurs derrière Ebury se sont livrés à diverses activités de monétisation, telles que la distribution de spam, la redirection du trafic Web et le vol d'informations d'identification. De plus, ils sont impliqués dans le vol de crypto-monnaie via des attaques Man-in-the-Middle (MitM) et le vol de cartes de crédit via l'interception du trafic réseau, une technique communément appelée écrémage Web côté serveur.
Table des matières
Des cybercriminels ont été surpris en train d'exploiter le botnet Ebury
Ebury est apparu il y a plus de dix ans lors de l'opération Windigo, une campagne visant à compromettre les serveurs Linux. Cette opération a déployé Ebury avec d'autres outils comme Cdorked et Calfbot pour rediriger le trafic Web et envoyer du spam. En août 2017, Maxim Senakh, un ressortissant russe, a été condamné à près de quatre ans de prison aux États-Unis pour son implication dans le développement et la maintenance du botnet Ebury.
Senakh et ses associés ont utilisé le botnet Ebury pour manipuler le trafic Internet à des fins de fraude aux clics et de spams, selon le ministère américain de la Justice. Cela a donné lieu à des revenus frauduleux s'élevant à des millions de dollars. Dans le cadre de son plaidoyer, Senakh a avoué avoir soutenu l'entreprise criminelle en créant des comptes auprès de bureaux d'enregistrement de domaines pour étendre l'infrastructure du botnet d'Ebury et en profitant personnellement du trafic généré par celui-ci.
Les appareils infectés par le botnet Ebury via de nombreux vecteurs différents
Une enquête a révélé plusieurs tactiques utilisées par les attaquants pour distribuer Ebury, notamment le vol d'informations d'identification SSH, le bourrage d'informations d'identification, l'infiltration de l'infrastructure du fournisseur d'hébergement, l'exploitation de vulnérabilités telles que la faille CVE-2021-45467 du panneau de contrôle Web et l'exécution d'une opération d'interception SSH ( MitM) attaques.
De plus, des acteurs malveillants ont été observés utilisant des identités fausses ou volées pour dissimuler leurs activités. Ils ont compromis l'infrastructure utilisée par d'autres acteurs malveillants, déployant le malware Ebury pour atteindre leurs objectifs et perturbant les efforts visant à les retrouver.
Par exemple, les attaquants ont compromis les serveurs chargés de collecter les données de Vidar Stealer. Ils ont utilisé des identités volées acquises via Vidar Stealer pour louer une infrastructure de serveur et mener des activités, trompant intentionnellement les forces de l'ordre. Dans un autre cas, Ebury a été utilisé pour pirater le système de l'un des auteurs du botnet Mirai , obtenant le code avant sa diffusion publique.
Les attaquants ont utilisé Ebury pour fournir des charges utiles menaçantes supplémentaires
Le malware fonctionne comme une porte dérobée et un voleur d'identifiants SSH, permettant aux attaquants d'introduire des charges utiles supplémentaires telles que HelimodSteal, HelimodProxy et HelimodRedirect, étendant ainsi leur portée au sein des réseaux compromis. La version la plus récente d'Ebury identifiée est la 1.8.2.
Ces outils visent à monétiser les serveurs compromis par divers moyens. Les stratégies de monétisation incluent le vol d’informations de carte de crédit, le vol de cryptomonnaies, la redirection du trafic, la diffusion de spam et le vol d’identifiants.
HelimodSteal, HelimodRedirect et HelimodProxy fonctionnent comme des modules de serveur HTTP pour intercepter les requêtes HTTP POST, rediriger le trafic HTTP vers les publicités et le trafic proxy pour la distribution de spam. Le groupe utilise également un module de noyau nommé KernelRedirect, utilisant un hook Netfilter pour modifier le trafic HTTP et activer la redirection. HelimodSteal est spécialement conçu pour capturer les données de carte de crédit soumises aux magasins en ligne, agissant comme un écumeur Web côté serveur pour extraire ces informations sensibles des serveurs infectés.
Les attaquants utilisent également des logiciels pour dissimuler et autoriser le trafic malveillant à travers les pare-feu, ainsi que des scripts Perl, pour des attaques de l'homme du milieu à grande échelle au sein des centres de données des fournisseurs d'hébergement. Ils ciblent des actifs précieux pour voler des crypto-monnaies dans les portefeuilles.
