Ebury, 15 yılda 400.000 Linux sunucusunu hackleyen korkunç botnetEbury botneti hâlâ ortalığı kasıp kavurmaya devam ediyor. ESET araştırmasına göre, on beş yıldan fazla bir süre önce tespit edilen kötü amaçlı yazılım, çok sayıda Linux sunucusunu tehlikeye attı.
Unutmayın: 2014 yılında ESET siber güvenlik araştırmacıları Linux sunucularını hedef alan korkunç bir botnet keşfetti. Windigo olarak adlandırılan operasyonun arkasındaki siber suçlular, sunucuların güvenliğini aşmak için şunlara güvendiler: Ebury kötü amaçlı yazılımı, OpenSSH uzaktan bağlantı yazılımının kötü amaçlı bir sürümü.
On yıl sonra Ebury botneti dikkate alındı. “sunuculardaki en gelişmiş kötü amaçlı yazılım kampanyalarından biri”, hala etkin, diye ESET'i uyarıyor. Bratislava'da (Slovakya) düzenlenen bir konferans kapsamında ESET araştırmacısı Marc-Etienne Léveillé, on yıl süren geniş bir anketin sonuçlarını açıkladı. Soruşturmalar ESET tarafından Hollanda Ulusal Polisinin desteğiyle gerçekleştirildi. Üç yıl önce Hollanda polisinin bir bölümü keşfetti “Hollanda'daki sunucuların Ebury kötü amaçlı yazılımıyla tehlikeye girdiğinden şüpheleniliyor”.
Ebury'nin ortaya çıkışı on beş yıldan fazla, Slovak şirketini belirtir. Virüsün ilk izleri 2009 yılında tespit edildi. Kötü amaçlı yazılım, ortaya çıkışından bu yana, saldırganların güvenlik mekanizmaları tarafından tespit edilmeden bu sistemlere erişmesine olanak sağlamak amacıyla sunuculara gizlice yükleniyor. ESET'in açıkladığı gibi, Ebury “Bir OpenSSH arka kapısı”Uzak bilgisayarlara güvenli bir şekilde erişmek için kullanılan yazılım. Bilgisayar korsanları, yazılıma bir arka kapı açarak bir sunucunun kontrolünü ele geçirebilir ve onu botnet'lerine ekleyebilir. Virüs aynı zamanda şu şekilde de çalışır: “bir kimlik doğrulama veri hırsızı”Kullanıcı adları ve şifreler gibi.
Yaklaşık 400.000 sunucunun güvenliği ihlal edildi
Bu arka kapı sayesinde bilgisayar korsanları, Linux, FreeBSD ve OpenBSD çalıştıran yaklaşık 400.000 sunucu. Geçen yılın sonunda virüslü sunucuların 100.000'den fazlası hâlâ bilgisayar korsanlarının elindeydi. Yıllar geçtikçe Ebury'nin ele geçirdiği sunucuların sayısı hızla arttı.
Spam ve kripto para hırsızlığı
Saldırganların kontrolleri altındaki sunuculardan para kazanması şaşırtıcı değil. ESET, bilgisayar korsanlarının virüslü makinelere internet trafiğini belirli sitelere yönlendirmek için modüller yüklediğini tespit etti. Bu hile, belirli sitelere gelen trafiği yapay olarak artırmayı veya reklam görüntülemeyi mümkün kılarak sahte reklam geliri elde edilmesini sağlar.
Güvenliği ihlal edilmiş sunuculardan oluşan bu orduyla birlikte siber suçlular da kapsamlı spam kampanyaları. Sunucular, büyük miktarda spam e-posta göndermek ve postaların kaynağını gizlemek için geçiş noktası olarak kullanıldı. Fidye yazılımı uzmanları da dahil olmak üzere siber suçluların, kötü amaçlı e-postaları büyük ölçekte dağıtmak için bir botnet kullanması alışılmadık bir durum değildir. Son zamanlarda Lockbit Black ile silahlanmış bilgisayar korsanları, fidye yazılımlarını yaymak için Phorpiex botnet'i kullandı.
Ayrıca botnet, büyük çaplı hırsızlıkların gerçekleştirilmesine de olanak sağladı. Araştırmacılar, Ebury kullanımını kripto para hırsızlıklarıyla ilişkilendirebildiler. Ele geçirilen sunucular kripto cüzdanları barındırıyorsa, siber suçlular toplanan kimlik bilgilerini dijital varlıkları çalmak için kullanır. Ek olarak botnet, kredi kartı numaralarının çalınması amacıyla yoğun şekilde kullanıldı. Genel olarak, bilgisayar korsanları bu işlemleri gerçekleştirmek için Ebury tarafından oluşturulan ağa güveniyordu. “mali kazançlar”ESET'i özetliyor.
Bir hacker tutuklandı
Siber saldırının arkasındaki siber suçlulardan biri zaten kolluk kuvvetleri tarafından tutuklandı. 2015 yılında “Faillerden biri Finlandiya-Rusya sınırında yakalanarak ABD’ye iade edildi”, Marc-Etienne Léveillé'yi açıklıyor. İki yıl boyunca masumiyetini koruyan Rus vatandaşı nihayet suçunu kabul etti.
Şu an için Ebury'nin kökeninde hangi küçük grubun bulunduğunu hâlâ bilmiyoruz. Tarafımızca sorgulanan Marc-Etienne Léveillé, botnet'in tek bir siber suçlu grubu tarafından işletildiğine inanıyor. Diğer botnetlerin aksine, Ebury muhtemelen en yüksek teklifi verenlerin kullanımına sunulmadı. Virüsün uzun yıllar nispeten görünmez kalmasının nedeni bu olabilir. Araştırmacının “Ebury” olarak tanımladığı Ebury ile ilgili soruşturmalar sürüyor. “ciddi tehdit” Linux güvenliği için.
ESET
Unutmayın: 2014 yılında ESET siber güvenlik araştırmacıları Linux sunucularını hedef alan korkunç bir botnet keşfetti. Windigo olarak adlandırılan operasyonun arkasındaki siber suçlular, sunucuların güvenliğini aşmak için şunlara güvendiler: Ebury kötü amaçlı yazılımı, OpenSSH uzaktan bağlantı yazılımının kötü amaçlı bir sürümü.
On yıl sonra Ebury botneti dikkate alındı. “sunuculardaki en gelişmiş kötü amaçlı yazılım kampanyalarından biri”, hala etkin, diye ESET'i uyarıyor. Bratislava'da (Slovakya) düzenlenen bir konferans kapsamında ESET araştırmacısı Marc-Etienne Léveillé, on yıl süren geniş bir anketin sonuçlarını açıkladı. Soruşturmalar ESET tarafından Hollanda Ulusal Polisinin desteğiyle gerçekleştirildi. Üç yıl önce Hollanda polisinin bir bölümü keşfetti “Hollanda'daki sunucuların Ebury kötü amaçlı yazılımıyla tehlikeye girdiğinden şüpheleniliyor”.
On beş yıldan fazla faaliyet
Ebury'nin ortaya çıkışı on beş yıldan fazla, Slovak şirketini belirtir. Virüsün ilk izleri 2009 yılında tespit edildi. Kötü amaçlı yazılım, ortaya çıkışından bu yana, saldırganların güvenlik mekanizmaları tarafından tespit edilmeden bu sistemlere erişmesine olanak sağlamak amacıyla sunuculara gizlice yükleniyor. ESET'in açıkladığı gibi, Ebury “Bir OpenSSH arka kapısı”Uzak bilgisayarlara güvenli bir şekilde erişmek için kullanılan yazılım. Bilgisayar korsanları, yazılıma bir arka kapı açarak bir sunucunun kontrolünü ele geçirebilir ve onu botnet'lerine ekleyebilir. Virüs aynı zamanda şu şekilde de çalışır: “bir kimlik doğrulama veri hırsızı”Kullanıcı adları ve şifreler gibi.
Saldırının kökeninde kimlik verilerinin çalınmasını buluyoruz. Operasyon aslında şuna dayanıyor: hassas bilgilerin sızması. Çalınan veriler sayesinde bilgisayar korsanları bu bilgileri ele geçirebildiler. “Yönetici ayrıcalıkları” arka kapıyı yüklemek için gerekli. Veriler çalındıktan sonra genellikle kimlik bilgisi doldurma saldırıları başlattılar veya “kimlik bilgisi doldurma” İngilizce. Bu tür saldırı, bir hizmetten çalınan kimlik bilgileri (kullanıcı adları ve parolalar) listelerinin diğer hizmetlere bağlanmayı denemek için kullanılmasını içerir.
Yaklaşık 400.000 sunucunun güvenliği ihlal edildi
Bu arka kapı sayesinde bilgisayar korsanları, Linux, FreeBSD ve OpenBSD çalıştıran yaklaşık 400.000 sunucu. Geçen yılın sonunda virüslü sunucuların 100.000'den fazlası hâlâ bilgisayar korsanlarının elindeydi. Yıllar geçtikçe Ebury'nin ele geçirdiği sunucuların sayısı hızla arttı.
Quebec araştırmacısına göre korsanlar sıklıkla hedef aldı “web barındırma altyapısı”. Ebury konuşlandırıldı “bu tedarikçiler tarafından kiralanan sunucular”. Fiilen korsanlar kontrolü ele geçirmeyi başardılar. “aynı anda binlerce sunucu”. Ona göre var “Dünyanın hemen hemen her ülkesindeki sunucular Ebury ile uzlaştı”.
Spam ve kripto para hırsızlığı
Saldırganların kontrolleri altındaki sunuculardan para kazanması şaşırtıcı değil. ESET, bilgisayar korsanlarının virüslü makinelere internet trafiğini belirli sitelere yönlendirmek için modüller yüklediğini tespit etti. Bu hile, belirli sitelere gelen trafiği yapay olarak artırmayı veya reklam görüntülemeyi mümkün kılarak sahte reklam geliri elde edilmesini sağlar.
Güvenliği ihlal edilmiş sunuculardan oluşan bu orduyla birlikte siber suçlular da kapsamlı spam kampanyaları. Sunucular, büyük miktarda spam e-posta göndermek ve postaların kaynağını gizlemek için geçiş noktası olarak kullanıldı. Fidye yazılımı uzmanları da dahil olmak üzere siber suçluların, kötü amaçlı e-postaları büyük ölçekte dağıtmak için bir botnet kullanması alışılmadık bir durum değildir. Son zamanlarda Lockbit Black ile silahlanmış bilgisayar korsanları, fidye yazılımlarını yaymak için Phorpiex botnet'i kullandı.
Ayrıca botnet, büyük çaplı hırsızlıkların gerçekleştirilmesine de olanak sağladı. Araştırmacılar, Ebury kullanımını kripto para hırsızlıklarıyla ilişkilendirebildiler. Ele geçirilen sunucular kripto cüzdanları barındırıyorsa, siber suçlular toplanan kimlik bilgilerini dijital varlıkları çalmak için kullanır. Ek olarak botnet, kredi kartı numaralarının çalınması amacıyla yoğun şekilde kullanıldı. Genel olarak, bilgisayar korsanları bu işlemleri gerçekleştirmek için Ebury tarafından oluşturulan ağa güveniyordu. “mali kazançlar”ESET'i özetliyor.
Bir hacker tutuklandı
Siber saldırının arkasındaki siber suçlulardan biri zaten kolluk kuvvetleri tarafından tutuklandı. 2015 yılında “Faillerden biri Finlandiya-Rusya sınırında yakalanarak ABD’ye iade edildi”, Marc-Etienne Léveillé'yi açıklıyor. İki yıl boyunca masumiyetini koruyan Rus vatandaşı nihayet suçunu kabul etti.
Şu an için Ebury'nin kökeninde hangi küçük grubun bulunduğunu hâlâ bilmiyoruz. Tarafımızca sorgulanan Marc-Etienne Léveillé, botnet'in tek bir siber suçlu grubu tarafından işletildiğine inanıyor. Diğer botnetlerin aksine, Ebury muhtemelen en yüksek teklifi verenlerin kullanımına sunulmadı. Virüsün uzun yıllar nispeten görünmez kalmasının nedeni bu olabilir. Araştırmacının “Ebury” olarak tanımladığı Ebury ile ilgili soruşturmalar sürüyor. “ciddi tehdit” Linux güvenliği için.
Kaynak :01net'ten gelen hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
ESET