請記住:2014 年,ESET 網路安全研究人員發現針對 Linux 伺服器的強大殭屍網絡。為了破壞伺服器,該行動背後的網路犯罪分子(稱為 Windigo)依靠和 Ebury 惡意軟體,OpenSSH 遠端連線軟體的惡意版本。
十年後,Ebury 殭屍網路被認為“伺服器上最先進的惡意軟體活動之一”,仍然處於活動狀態,ESET 發出警告。作為在布拉迪斯拉發(斯洛伐克)舉辦的會議的一部分,ESET 研究員 Marc-Etienne Léveillé 公佈了一項持續十年的大規模調查結果。調查由 ESET 在荷蘭國家警察的協助下進行。三年前,荷蘭警方的一個部門發現“荷蘭的伺服器疑似受到 Ebury 惡意軟體的攻擊”。
超過十五年的活動
Ebury的出現可以追溯到超過十五年,表示斯洛伐克公司。該病毒的第一個踪跡於 2009 年被發現。正如 ESET 所解釋的,Ebury 是“OpenSSH 後門”,用於安全存取遠端電腦的軟體。透過在軟體中植入後門,駭客可以控制伺服器並將其添加到他們的殭屍網路中。該病毒還可以作為“身份驗證資料竊賊”,例如使用者名稱和密碼。
「系統遭到破壞後,許多細節都會被洩漏。使用在此系統上獲得的已知密碼,憑證將被重新用於嘗試登入相關係統”,詳細資料 ESET。
在攻擊的根源上,我們發現身分資料被盜。該操作實際上是基於敏感資訊洩露。正是由於竊取了數據,駭客才能夠獲得“管理員權限”需要安裝後門。一旦資料被盜,他們通常會發動撞庫攻擊,或者« 憑證填充 »用英語。此類攻擊涉及使用從一項服務竊取的憑證(使用者名稱和密碼)清單來嘗試連接到其他服務。
近 40 萬台伺服器受到威脅
多虧了這個後門,駭客才能夠入侵近 40 萬台伺服器運行 Linux、FreeBSD 和 OpenBSD。截至去年底,仍有超過10萬台受感染的伺服器仍在駭客手中。多年來,受 Ebury 攻擊的伺服器數量激增。
“不斷有新伺服器受到威脅,而其他伺服器則被清理或關閉”,強調 ESET。
據魁北克研究人員稱,海盜經常瞄準“網路主機基礎架構”。 Ebury 已部署於“這些供應商租用的伺服器”。事實上,海盜能夠控制“同時有數千台伺服器”。據他介紹,有「世界上幾乎每個國家的伺服器都受到了 Ebury 的攻擊」。
垃圾郵件和加密貨幣盜竊
不出所料,攻擊者將其控制下的伺服器貨幣化。 ESET 發現駭客在受感染的電腦上安裝了模組,以將網路流量重定向到特定網站。這種伎倆可以人為地增加某些網站的流量或顯示廣告,從而產生欺詐性的廣告收入。
透過這支受感染的伺服器大軍,網路犯罪分子還精心策劃了廣泛的垃圾郵件活動。這些伺服器被用作中繼來發送大量垃圾郵件,同時隱藏郵件的來源。包括勒索軟體專家在內的網路犯罪分子利用殭屍網路大規模散佈惡意電子郵件的情況並不罕見。最近,配備 Lockbit Black 的駭客也使用 Phorpiex 殭屍網路傳播勒索軟體。
此外,殭屍網路也使得大規模竊盜成為可能。研究人員能夠將 Ebury 的使用與加密貨幣盜竊聯繫起來。如果受感染的伺服器託管加密錢包,網路犯罪分子就會使用收集到的憑證來竊取數位資產。此外,該殭屍網路也被嚴重利用來竊取信用卡號碼。總體而言,駭客依靠 Ebury 形成的網路來進行« 贏得金融家 »,總結了 ESET。
一名駭客已被捕
網路攻擊背後的一名網路犯罪分子已被執法部門逮捕。 2015年,“其中一名肇事者在芬蘭和俄羅斯邊境被捕,然後被引渡到美國””,Marc-Etienne Léveillé 解釋道。在堅稱自己無罪兩年後,這名俄羅斯公民最終認罪。
目前,我們還不知道埃伯里的起源是哪一個小團體。在我們的詢問下,Marc-Etienne Léveillé 認為該殭屍網路是由一組網路犯罪分子所經營的。與其他殭屍網路不同,Ebury 可能不會提供給最高出價者。這可能就是為什麼這種病毒多年來相對不可見的原因。關於埃伯里的調查仍在進行中,研究人員將其描述為“嚴重威脅”為了Linux安全。
來源 : 埃塞特
