ESET araştırmacıları, en gelişmiş sunucu tarafı kötü amaçlı yazılım kampanyalarından birine ilişkin derinlemesine araştırmasını yayınladı. Hala büyüyor ve en az 15 yıllık operasyonunda yüz binlerce sunucunun güvenliğinin ihlal edildiğine tanık oldu.
Ebury grubu ve botnet, yıllar boyunca spam’in yayılmasına, web trafiğinin yeniden yönlendirilmesine ve kimlik bilgilerinin çalınmasına karıştı. Son yıllarda kredi kartı ve kripto para hırsızlığına yöneldiler.
Ek olarak Ebury, neredeyse 400.000 Linux, FreeBSD ve OpenBSD sunucusunun güvenliğini tehlikeye atmak için bir arka kapı olarak konuşlandırıldı; 2023’ün sonları itibarıyla 100.000’den fazlasının güvenliği hâlâ ihlal edilmiş durumda. Çoğu durumda Ebury operatörleri, İSS’lerin ve tanınmış barındırma sağlayıcılarının büyük sunucularına tam erişim elde edebildi.
En az 2009’dan beri aktif olan Ebury, bir OpenSSH arka kapısı ve kimlik bilgisi hırsızıdır. Botnet’ten (web trafiği yeniden yönlendirme modülleri gibi) para kazanmak için ek kötü amaçlı yazılım dağıtmak, spam için proxy trafiği, ortadaki rakip saldırıları (AitM) gerçekleştirmek ve kötü amaçlı altyapıyı destekleyen ana bilgisayarları dağıtmak için kullanılır. AitM saldırılarında ESET, Şubat 2022 ile Mayıs 2023 arasında 34 ülkede 75’ten fazla ağda 200’den fazla hedef gözlemledi.
Operatörleri, kripto para cüzdanlarını, kimlik bilgilerini ve kredi kartı ayrıntılarını çalmak için Ebury botnet’ini kullandı. ESET, Apache modülleri ve web trafiğini yeniden yönlendirmek için bir çekirdek modülü de dahil olmak üzere, çete tarafından finansal kazanç amacıyla yazılan ve dağıtılan yeni kötü amaçlı yazılım ailelerini ortaya çıkardı. Ebury operatörleri ayrıca sunucuların güvenliğini toplu olarak tehlikeye atmak için yönetici yazılımındaki sıfır gün güvenlik açıklarından yararlandı.
Bir sistemin güvenliği ihlal edildikten sonra birçok ayrıntı sızdırılır. Bu sistem üzerinde elde edilen bilinen şifreler ve anahtarlar kullanılarak, ilgili sistemlere giriş yapmayı denemek için kimlik bilgileri yeniden kullanılır. Her Ebury’nin ana sürümü önemli değişiklikler, yeni özellikler ve gizleme teknikleri sunar.
“Barındırma sağlayıcılarının altyapısının Ebury tarafından tehlikeye atıldığı durumları belgeledik. Bu durumlarda, Ebury’nin bu sağlayıcılar tarafından kiralanan sunuculara, kiracılara herhangi bir uyarı yapılmadan dağıtıldığını gördük. Bu, Ebury aktörlerinin aynı anda binlerce sunucunun güvenliğini ihlal edebildiği vakalarla sonuçlandı,” diyor Ebury’yi on yılı aşkın süredir araştıran ESET araştırmacısı Marc-Etienne M. Léveillé. Ebury’nin coğrafi bir sınırı yoktur; Dünyanın hemen hemen tüm ülkelerinde Ebury ile güvenliği ihlal edilmiş sunucular var. Bir barındırma sağlayıcısının güvenliği ihlal edildiğinde, aynı veri merkezlerinde çok sayıda sunucunun güvenliği ihlal edildi.
Aynı zamanda hiçbir sektör diğerlerinden daha hedefli görünmüyor. Kurbanlar arasında üniversiteler, küçük ve büyük işletmeler, internet servis sağlayıcıları, kripto para tüccarları, Tor çıkış düğümleri, paylaşılan barındırma sağlayıcıları ve özel sunucu sağlayıcıları yer alıyor.
2019’un sonlarında, ABD merkezli büyük ve popüler bir alan adı kayıt kuruluşu ve web barındırma sağlayıcısının altyapısı tehlikeye girdi. Toplamda yaklaşık 2.500 fiziksel ve 60.000 sanal sunucunun güvenliği saldırganlar tarafından ele geçirildi. Bu sunucuların hepsi olmasa da çok büyük bir kısmı, 1,5 milyondan fazla hesabın web sitelerini barındırmak için birden fazla kullanıcı arasında paylaşılmaktadır. Başka bir olayda, 2023 yılında bu barındırma sağlayıcısının toplam 70.000 sunucusunun güvenliği Ebury tarafından ele geçirildi. Linux çekirdeğinin kaynak kodunu barındıran Kernel.org da Ebury’nin kurbanı olmuştu.
“Ebury, Linux güvenlik topluluğu için ciddi bir tehdit ve zorluk teşkil ediyor. Ebury’yi etkisiz hale getirecek basit bir çözüm yok ancak yayılmasını ve etkisini en aza indirmek için bir takım hafifletici önlemler uygulanabilir. Farkına varılması gereken bir şey, bunun yalnızca güvenliği daha az önemseyen kuruluşların veya bireylerin başına gelmediğidir. Kurbanlar arasında teknoloji konusunda son derece bilgili birçok kişi ve büyük kuruluş yer alıyor,” diye bitiriyor Léveillé.