Ünlü Ebury Grubunun ve botnetinin yıllar içindeki faaliyetleri arasında spam yaymak, web trafiğini yeniden yönlendirmek ve kimlik bilgilerini çalmak yer alıyor. Son yıllarda kredi kartı ve kripto para hırsızlığına da yöneldi. Ebury, yaklaşık 400.000 Linux, FreeBSD ve OpenBSD sunucusunu tehlikeye atmak için bir arka kapı olarak kullanıldı; 2023’ün sonunda 100.000’den fazlası hâlâ tehlike altındaydı.
On yıl önce ESET, Ebury kötü amaçlı yazılım ailesine odaklanan ve birden fazla kötü amaçlı yazılım ailesini bir arada kullanan Windigo Operasyonu hakkında bir teknik inceleme yayınladı. 2021’in sonlarında, Hollanda Ulusal Polisinin bir parçası olan Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHTCU), Hollanda’daki sunucuların Ebury kötü amaçlı yazılımı tarafından ele geçirildiğinden şüphelenilen sunucularla ilgili olarak ESET ile temasa geçti. Bu şüphelerin doğru olduğu ortaya çıktı ve NHTCU’nun yardımıyla ESET Research, Ebury tehdit aktörleri tarafından yürütülen operasyonlara ilişkin önemli bir görünürlük elde etti.
On yıldan fazla bir süredir Ebury üzerinde çalışan ESET araştırmacısı Marc-Etienne M. Léveillé; “Windigo makalesinin 2014’ün başlarında yayınlanmasının ardından, faillerden biri 2015 yılında Finlandiya-Rusya sınırında tutuklandı ve ardından ABD’ye iade edildi. Başlangıçta masum olduğunu iddia etti ve Minneapolis’teki ABD bölgesinde mahkemeye çıkması gerekiyordu. ESET araştırmacıları burada ifade verecek. Birkaç hafta önce, 2017 yılında suçlamaları kabul etmişti.
Ebury botnet’i kripto para cüzdanlarını, kimliklerini ve kredi kartı bilgilerini çalmak için kullanıldı
En az 2009’dan beri aktif olan Ebury, bir OpenSSH arka kapısı ve kimlik bilgisi hırsızıdır. Ek kötü amaçlı yazılım dağıtmak için kullanılır: botnet’lerden para kazanma (web trafiği yeniden yönlendirme modülleri gibi), spam için proxy trafiği, Ortadaki Düşman (AitM) saldırılarının yürütülmesi ve kötü amaçlı altyapıyı destekleyen ana bilgisayarlar. ESET, Şubat 2022 ile Mayıs 2023 arasında 34 farklı ülkedeki 75’ten fazla ağdaki AitM saldırılarında 200’den fazla hedef gözlemledi. Operatörleri, kripto para cüzdanlarını, kimliklerini ve kredi kartı bilgilerini çalmak için Ebury botnet’ini kullandı. ESET, kâr amacı güden grup tarafından yazılan ve dağıtılan, Apache modülleri ve web trafiğini yeniden yönlendirmeye yönelik bir çekirdek modülü de dahil olmak üzere yeni kötü amaçlı yazılım aileleri keşfetti. Ebury operatörleri ayrıca sunucuların güvenliğini topluca tehlikeye atmak için yönetim yazılımındaki sıfır gün güvenlik açıklarından yararlandı.
Bir sistemin güvenliği ihlal edildiğinde çok sayıda ayrıntı dışarı sızar. Bu sistemde elde edilen şifre ve anahtarlar kullanılarak kimlik bilgileri tekrar kullanılarak ilgili sistemlere erişim sağlanmaya çalışılmaktadır. Ebury’nin her yeni büyük sürümü bazı önemli değişiklikler, yeni özellikler ve gizleme teknikleri sunar.
“Barındırma sağlayıcılarının altyapısının Ebury tarafından tehlikeye atıldığı vakaları belgeledik. Bu durumlarda, Ebury’nin bu sağlayıcılardan kiralanan sunuculara kiracılara bildirimde bulunulmadan dağıtıldığını tespit ettik. Bu, Ebury aktörlerinin uzlaşmaya varabildiği vakalara yol açtı. aynı anda binlerce sunucu,” diye açıklıyor Léveillé. Ebury için coğrafi sınır yoktur; Dünyanın hemen hemen her ülkesinde Ebury ile güvenliği ihlal edilmiş sunucular var. Bir barındırma sağlayıcısının güvenliği ihlal edildiğinde, aynı veri merkezlerinde birden fazla sunucunun güvenliği ihlal edildi. Aynı zamanda hiçbir dikey alanın diğerlerinden daha hedefli olduğu görülmemektedir. Kurbanlar arasında üniversiteler, küçük ve büyük işletmeler, İnternet servis sağlayıcıları, kripto para birimi tüccarları, Tor çıkış düğümleri, paylaşılan barındırma sağlayıcıları ve özel sunucu sağlayıcıları yer alıyor.
2019’un sonlarında, ABD merkezli büyük ve popüler bir alan adı kayıt kuruluşu ve web barındırma sağlayıcısının altyapısı tehlikeye girdi. Toplamda yaklaşık 2.500 fiziksel sunucu ve 60 bin sanal sunucu saldırganlar tarafından ele geçirildi. Bu sunucuların hepsi olmasa da çoğu, 1,5 milyondan fazla hesap için web sitelerini barındırmak üzere birden fazla kullanıcı arasında paylaşılmaktadır. Başka bir olayda Ebury, 2023 yılında söz konusu barındırma sağlayıcısının toplam 70.000 sunucusuna el koydu. Linux çekirdeğinin kaynak kodunu barındıran Kernel.org da Ebury’nin kurbanı oldu.
“Ebury, Linux güvenlik topluluğu için ciddi bir tehdit ve zorluk teşkil ediyor. Ebury’yi etkisiz hale getirmek için basit bir çözüm yok, ancak yayılmasını ve etkisini en aza indirmek için bir dizi hafifletme önlemi uygulanabilir. Anlaşılması gereken nokta, sadece bunun işe yaramadığıdır. güvenliği azaltıyor” dedi Léveillé. “Bu, umursayan kuruluşların veya bireylerin başına gelmez. Teknolojiden anlayan birçok kişi ve büyük kuruluşlar da kurban listesinde yer alıyor” diye bitirdi.
Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–