‫ بات نت Ebury بیش از 400000 سرور لینوکس را در معرض خطر قرار می‌دهد

محققان ESET تحقیقات خود را در مورد یکی از پیشرفته ترین کمپین‌های بدافزار سمت سرور منتشر کردند که هنوز در حال رشد است و صدها هزار سرور در معرض خطر را در حملات حداقل 15 ساله خود دیده است گروه Ebury و بات‌نت در طول سال‌ها در انتشار هرزنامه‌ها، هدایت ترافیک وب و سرقت اعتبار نقش داشته‌اند در سال‌های اخیر آنها به سرقت کارت‌های اعتباری و ارزهای دیجیتال دست زده اند.

Ebury به عنوان یک درب پشتی برای به خطر انداختن تقریباً 400000 سرور Linux، FreeBSD و OpenBSD استفاده شده است در بسیاری از موارد، اپراتورهای Ebury می‌توانند به سرورهای بزرگ ISPها و ارائه‌دهندگان میزبانی معروف دسترسی کامل داشته باشند Ebury که حداقل از سال 2009 فعال است، یک درب پشتی OpenSSH و دزد اعتبار است برای استقرار بدافزار اضافی برای کسب درآمد از بات‌نت (مانند ماژول‌ها برای تغییر مسیر ترافیک وب)، ترافیک پروکسی برای هرزنامه، انجام حملات دشمن در وسط (AitM) و میزبانی که از زیرساخت‌های مخرب پشتیبانی می‌کند استفاده می‌شود در حملات AitM، ESET بیش از 200 هدف را در بیش از 75 شبکه در 34 کشور بین فوریه 2022 و مه 2023 مشاهده کرده است.

اپراتورهای آن از بات نت Ebury برای سرقت کیف پول ارزهای دیجیتال، اعتبارنامه‌ها و جزئیات کارت اعتباری استفاده کرده اند. ESET خانواده‌های بدافزار جدیدی را کشف کرده است که توسط این باند برای منافع مالی ایجاد و مستقر شده‌اند، از جمله ماژول‌های آپاچی و یک ماژول هسته برای هدایت ترافیک وب اپراتورهای Ebury همچنین از آسیب‌پذیری‌های روز صفر در نرم‌افزار سرپرست برای به خطر انداختن سرورها به صورت انبوه استفاده کردند پس از به خطر افتادن یک سیستم، چندین جزئیات استخراج می شوند با استفاده از رمزهای عبور و کلیدهای شناخته شده به دست آمده در آن سیستم، اعتبارنامه ها مجدداً برای ورود به سیستم های مرتبط مورد استفاده قرار می گیرند هر نسخه اصلی Ebury تغییرات مهم، ویژگی های جدید و تکنیک های مبهم سازی را معرفی می کند.

ما موارد مستندی داریم که زیرساخت ارائه دهندگان هاست توسط Ebury به خطر افتاده است در این موارد، ما شاهد استقرار Ebury بر روی سرورهایی هستیم که بدون هیچ هشداری به اجاره کنندگان توسط ارائه دهندگان اجاره شده‌اند، این منجر به مواردی شد که مهاجمین Ebury توانستند هزاران سرور را در یک زمان به خطر بیندازند هیچ مرز جغرافیایی برای Ebury وجود ندارد تقریباً در همه کشورهای جهان سرورهایی با Ebury در خطر هستند هر زمان که یک  سرور در معرض خطر قرار می گرفت، منجر به ایجاد تعداد زیادی سرور در معرض خطر در همان مراکز داده می شد قربانیان شامل دانشگاه ها، شرکت های کوچک و بزرگ، ارائه دهندگان خدمات اینترنت، معامله گران ارزهای دیجیتال، گره های خروج Tor، ارائه دهندگان میزبانی مشترک و ارائه دهندگان سرور اختصاصی هستند.

در اواخر سال 2019، زیرساخت یک ثبت کننده دامنه بزرگ و محبوب مستقر در ایالات متحده و ارائه دهنده میزبانی وب به خطر افتاد. در مجموع، تقریباً 2500 سرور فیزیکی و 60000 سرور مجازی توسط مهاجمان در معرض خطر قرار گرفتند. اگر نگوییم همه، بخش بسیار بزرگی از این سرورها بین چندین کاربر به اشتراک گذاشته می شود تا وب سایت های بیش از 1.5 میلیون حساب را میزبانی کند. در یک حادثه دیگر، در سال 2023، در مجموع 70000 سرور از آن ارائه دهنده میزبانی توسط Ebury در معرض خطر قرار گرفت. Kernel.org، میزبان کد منبع هسته لینوکس، قربانی Ebury نیز شده بود.

Ebury یک تهدید جدی و یک چالش برای جامعه امنیتی لینوکس است هیچ راه حل ساده ای وجود ندارد که Ebury را بی اثر کند، اما تعدادی از اقدامات کاهشی را می توان برای به حداقل رساندن گسترش و تأثیر آن اعمال کرد نکته ای که باید بدانیم این است که این فقط برای سازمان ها یا افرادی اتفاق نمی افتد که کمتر به امنیت اهمیت می دهند بسیاری از افراد بسیار آگاه به فناوری و سازمان‌های بزرگ در میان لیست قربانیان قرار دارند.»