ESET Research heeft een grondige onderzoek naar een van de meest geavanceerde en steeds groeiende server-malwarecampagnes gepubliceerd en zag dat honderdduizenden servers tijdens de laatste vijftien jaar gecompromitteerd werden. Bovendien werd Ebury gebruikt als achterdeur om bijna 400.000 Linux-, FreeBSD- en OpenBSD-servers te compromitteren. Eind 2023 waren nog steeds ruim 100.000 servers gecompromitteerd. Heel vaak kregen Ebury-operatoren volledige toegang tot grote servers van zeer gekende I
• ESET Research publiceert zijn onderzoek naar een van de meest geavanceerde en springlevende server-malwarecampagnes: de Ebury-groep, zijn malware en zijn botnet.
• Ebury wordt al jaren ingezet als backdoor en heeft bijna 400.000 Linux-, FreeBSD- en OpenBSD-servers gecompromitteerd. Eind 2023 waren er nog ruim 100.000 servers gecompromitteerd.
• Ebury-actoren gingen door met het genereren van inkomsten ook na onze publicatie van Operatie Windigo in 2014. Daarvoor werden spam verspreid, webverkeer omgeleid en inloggegevens gestolen.
• ESET heeft bevestigd dat operatoren ook slachtoffers waren van diefstal van cryptomunten.
• In tal van gevallen hebben Ebury-operatoren volledige toegang gekregen tot grote servers van zeer gekende ISP’s en hostingproviders.
BRATISLAVA, MONTREAL, 15 mei 2024 — ESET Research heeft een grondige onderzoek naar een van de meest geavanceerde en steeds groeiende server-malwarecampagnes gepubliceerd en zag dat honderdduizenden servers tijdens de laatste vijftien jaar gecompromitteerd werden. De activiteiten van de beruchte Ebury-groep en zijn botnet zijn het verspreiden van spam, het omleiden van webverkeer en het stelen van inloggegevens. Onlangs nog is de groep zich gaan toeleggen op het stelen van kredietkaartgegevens en cryptomunten. Bovendien werd Ebury gebruikt als achterdeur om bijna 400.000 Linux-, FreeBSD- en OpenBSD-servers te compromitteren. Eind 2023 waren nog steeds ruim 100.000 servers gecompromitteerd. Heel vaak kregen Ebury-operatoren volledige toegang tot grote servers van zeer gekende ISP’s en hostingproviders.
Tien jaar geleden publiceerde ESET een witboek over ‘Operatie Windigo’, waarbij verschillende malwarefamilies samenwerkten en de Ebury-malwarefamilie als middelpunt hadden. Eind 2021 contacteerde de Nederlandse Nationale High Tech Crime Unit (NHTCU), onderdeel van de Nationale Politie, ESET in verband met servers die vermoedelijk gecompromitteerd waren door de Ebury-malware in hun land. Deze vermoedens waren gegrond en dankzij de NHTCU kreeg ESET Research aanzienlijk informatie over de wandaden die door de Ebury-actoren werden gepleegd.
“ Begin 2014, na de publicatie van het Witboek over Windigo, werd een van de Ebury-auteurs in 2015 aan de Russisch-Finse grens gearresteerd en vervolgens uitgeleverd aan de Verenigde Staten. Eerst beweerde hij onschuldig te zijn, maar in 2017 bekende hij uiteindelijk toch schuldig te zijn. Dit was kort voor de start van zijn proces in Minneapolis, waar ESET-onderzoekers zouden getuigen”, verduidelijkt Marc Etienne Léveillé, de ESET-researcher die Ebury ruim 10 jaar onderzocht.
Ebury, actief sinds minstens 2009, steelt OpenSSH-backdoors en inloggegevens. Het zet bijkomende malware in voor financieel gewin met zijn botnet (zoals modules voor het omleiden van webverkeer), als verkeersproxy voor spam, om adversary-in-the-middle aanvallen (MIA’s) uit te voeren en om kwaadaardige infrastructuur te hosten. Bij AitM-aanvallen, tussen februari 2022 en mei 2023, kon ESET vaststellen dat er meer dan 200 keer, meer dan 75 netwerken in 34 landen werden aangevallen.
De operatoren gebruikten het Ebury-botnet om cryptomunten-portefeuilles, inloggegevens en kredietkaartgegevens te stelen. ESET ontdekte nieuwe malwarefamilies, door de groep gemaakt en die gebruikt werden voor financieel gewin. Daarbij waren ook Apache-modules en een kernmodule om webverkeer om te leiden. Ebury-operatoren maakten ook gebruik van zero-day-kwetsbaarheden in beheerderssoftware om servers massaal in gevaar te brengen.
Zodra een systeem gecompromitteerd is, worden een aantal details geëxfiltreerd. Als bekende wachtwoorden en sleutels van dit systeem verkregen worden, kunnen de inloggegevens dan gebruikt worden om te proberen in te loggen op verwante systemen. Elke nieuwe belangrijke release van Ebury introduceert belangrijke wijzigingen alsook nieuwe functies en verduisteringstechnieken.
“We hebben gevallen waargenomen waarin de infrastructuur van hostingproviders door Ebury werd gecompromitteerd. Vervolgens zagen we dat Ebury werd ingezet op servers die door deze providers werden verhuurd, zonder waarschuwing aan de huurders. Zo konden Ebury-actoren duizenden servers tegelijk in gevaar brengen”, zegt Léveillé nog. Ebury kent geen geografische grenzen. In vrijwel elk land ter wereld zijn servers door Ebury gecompromitteerd. Telkens een hostingprovider gecompromitteerd werd, had dit tot gevolg dat heel wat servers in dezelfde datacenters ook gecompromitteerd werden.
Geen enkele verticale sector lijkt meer het doelwit te zijn dan een andere. Slachtoffers waren onder meer universiteiten, KMO’s, internetproviders, handelaars in cryptomunten, Tor-exitknooppunten, gedeelde hostingproviders en serverproviders, om er slechts enkele te vermelden.
Eind 2019 kwam de infrastructuur van een grote en populaire Amerikaanse domeinregistratiebedrijf en webhostingprovider in gevaar. In totaal raakten ongeveer 2.500 fysieke servers en 60.000 virtuele servers gecompromitteerd. Veel servers, zo niet alle, werden gedeeld door meerdere gebruikers om de websites van meer dan 1,5 miljoen accounts te hosten. In 2023 werden bij een ander incident 70.000 servers van deze hostingprovider door Ebury gecompromitteerd. Kernel.org, die de broncode van de Linux-kernel host, was ook een van de slachtoffers.
“Ebury is een ernstige bedreiging en een uitdaging voor de Linux-beveiligingsgemeenschap. Er bestaat geen eenvoudige oplossing om Ebury onschadelijk te maken, maar er kunnen wel een handvol maatregelen toegepast worden om zijn verspreiding en impact in te perken. Dit overkomt niet alleen minder veiligheidsbewuste organisaties of personen. Verschillende technisch onderlegde personen en grote organisaties zijn op de slachtofferlijst terug te vinden,” besluit Léveillé.
Voor meer technische informatie en een reeks tools en indicatoren om systeembeheerders te helpen bepalen of hun systemen door Ebury gecompromitteerd zijn, lees het witboek “Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain”. Volg ESET Research op Twitter (vandaag X) voor nieuws over ESET Research. https://www.welivesecurity.com/en/eset-research/ebury-alive-unseen-400k-linux-servers-compromised-cryptotheft-financial-gain/
Meer lezen