บอทเน็ตของ Ebury ยังคงสร้างความหายนะ จากการสืบสวนของ ESET มัลแวร์ซึ่งถูกระบุตัวเมื่อสิบห้าปีที่แล้วได้บุกรุกเซิร์ฟเวอร์ Linux จำนวนมาก
ข้อควรจำ: ในปี 2014 นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ ESET ค้นพบบอทเน็ตที่น่าเกรงขามซึ่งกำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Linux- ในการประนีประนอมเซิร์ฟเวอร์ อาชญากรไซเบอร์ที่อยู่เบื้องหลังการดำเนินการที่เรียกว่า Windigo อาศัยและมัลแวร์ Eburyซอฟต์แวร์การเชื่อมต่อระยะไกล OpenSSH เวอร์ชันที่เป็นอันตราย
สิบปีต่อมา บอทเน็ตของ Ebury ได้รับการพิจารณา“หนึ่งในแคมเปญมัลแวร์ที่ทันสมัยที่สุดบนเซิร์ฟเวอร์”, ยังคงทำงานอยู่ ESET เตือน ในฐานะส่วนหนึ่งของการประชุมที่จัดขึ้นในบราติสลาวา (สโลวาเกีย) Marc-Etienne Léveillé นักวิจัยของ ESET เปิดเผยผลการสำรวจครั้งใหญ่ซึ่งกินเวลานานถึงทศวรรษ การสอบสวนดำเนินการโดย ESET ด้วยความช่วยเหลือจากตำรวจแห่งชาติเนเธอร์แลนด์ เมื่อสามปีที่แล้ว แผนกหนึ่งของตำรวจเนเธอร์แลนด์ค้นพบ“เซิร์ฟเวอร์ในเนเธอร์แลนด์ต้องสงสัยว่าถูกโจมตีด้วยมัลแวร์ Ebury”-
อ่านเพิ่มเติม:บอตเน็ตขนาดเล็กสามารถสร้างบันทึกการโจมตี DDoS ใหม่ด้วยคำขอ 26 ล้านคำขอ… ต่อวินาทีได้อย่างไร
กว่าสิบห้าปีของกิจกรรม
การปรากฏตัวของอีบิวรี่ย้อนกลับไปมากกว่าสิบห้าปี, ระบุถึงบริษัทสโลวัก พบร่องรอยแรกของไวรัสในปี 2552 นับตั้งแต่ปรากฏขึ้น มัลแวร์ดังกล่าวได้รับการติดตั้งอย่างลับๆ บนเซิร์ฟเวอร์เพื่อให้ผู้โจมตีสามารถเข้าถึงระบบเหล่านี้ได้โดยไม่ถูกตรวจพบโดยกลไกความปลอดภัย ดังที่ ESET อธิบาย Ebury คือ“ประตูหลัง OpenSSH”ซอฟต์แวร์ที่ใช้เพื่อเข้าถึงคอมพิวเตอร์ระยะไกลอย่างปลอดภัย การเจาะแบ็คดอร์เข้าไปในซอฟต์แวร์ แฮกเกอร์จะสามารถควบคุมเซิร์ฟเวอร์และเพิ่มเซิร์ฟเวอร์ลงในบ็อตเน็ตของตนได้ ไวรัสยังทำงานเป็น“โจรขโมยข้อมูลการรับรองความถูกต้อง”เช่นชื่อผู้ใช้และรหัสผ่าน
“หลังจากที่ระบบถูกบุกรุก รายละเอียดจำนวนหนึ่งจะถูกกรองออกไป การใช้รหัสผ่านที่รู้จักที่ได้รับในระบบนี้ ข้อมูลประจำตัวจะถูกนำมาใช้ซ้ำเพื่อพยายามเข้าสู่ระบบที่เกี่ยวข้อง", รายละเอียด ESET.
ที่ต้นตอของการโจมตี เราพบว่ามีการขโมยข้อมูลระบุตัวตน การดำเนินการนั้นแท้จริงแล้วขึ้นอยู่กับการรั่วไหลของข้อมูลที่ละเอียดอ่อน- ต้องขอบคุณข้อมูลที่ขโมยมาซึ่งแฮกเกอร์สามารถรับได้“สิทธิ์ของผู้ดูแลระบบ”จำเป็นต้องติดตั้งประตูหลัง เมื่อข้อมูลถูกขโมยไปแล้ว พวกเขามักจะเปิดการโจมตีด้วยการยัดข้อมูลประจำตัวหรือ« การเติมข้อมูลรับรอง »เป็นภาษาอังกฤษ การโจมตีประเภทนี้เกี่ยวข้องกับการใช้รายการข้อมูลประจำตัว (ชื่อผู้ใช้และรหัสผ่าน) ที่ถูกขโมยจากบริการหนึ่งเพื่อพยายามเชื่อมต่อกับบริการอื่น
เซิร์ฟเวอร์เกือบ 400,000 เครื่องถูกบุกรุก
ต้องขอบคุณแบ็คดอร์นี้ที่ทำให้แฮกเกอร์สามารถประนีประนอมได้เซิร์ฟเวอร์เกือบ 400,000 เครื่องที่ใช้ Linux, FreeBSD และ OpenBSD- เซิร์ฟเวอร์ที่ติดไวรัสมากกว่า 100,000 เครื่องยังคงอยู่ในมือของแฮกเกอร์เมื่อปลายปีที่แล้ว ในช่วงหลายปีที่ผ่านมา จำนวนเซิร์ฟเวอร์ที่ถูกโจมตีโดย Ebury ได้เพิ่มขึ้นอย่างรวดเร็ว
“มีเซิร์ฟเวอร์ใหม่ ๆ ที่ถูกบุกรุกอย่างต่อเนื่องในขณะที่เซิร์ฟเวอร์อื่น ๆ กำลังถูกล้างหรือลบออก”เน้น ESET
ตามที่นักวิจัยของควิเบกระบุว่าโจรสลัดมักตกเป็นเป้าหมาย“โครงสร้างพื้นฐานโฮสต์เว็บ”- Ebury ได้รับการปรับใช้เมื่อ“เซิร์ฟเวอร์ที่เช่าโดยซัพพลายเออร์เหล่านี้”- โดยพฤตินัย โจรสลัดก็สามารถควบคุมได้“เซิร์ฟเวอร์นับพันในคราวเดียว”- ตามเขามาก็มี.“เซิร์ฟเวอร์ถูกบุกรุกกับ Ebury ในเกือบทุกประเทศในโลก”
สแปมและการโจรกรรมสกุลเงินดิจิทัล
ไม่น่าแปลกใจเลยที่ผู้โจมตีสร้างรายได้จากเซิร์ฟเวอร์ภายใต้การควบคุมของพวกเขา ESET พบว่าแฮกเกอร์ติดตั้งโมดูลบนเครื่องที่ติดไวรัสเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตไปยังไซต์เฉพาะ เคล็ดลับนี้ทำให้สามารถเพิ่มการเข้าชมเว็บไซต์บางแห่งโดยไม่ตั้งใจหรือแสดงโฆษณา ซึ่งสร้างรายได้จากการโฆษณาที่เป็นการฉ้อโกง
ด้วยกองทัพเซิร์ฟเวอร์ที่ถูกบุกรุกนี้ อาชญากรไซเบอร์ก็เตรียมพร้อมเช่นกันแคมเปญสแปมที่กว้างขวาง- เซิร์ฟเวอร์ถูกใช้เป็นรีเลย์เพื่อส่งอีเมลขยะจำนวนมหาศาลในขณะที่ซ่อนที่มาของการส่งจดหมาย ไม่ใช่เรื่องแปลกที่อาชญากรไซเบอร์ รวมถึงผู้เชี่ยวชาญด้านแรนซัมแวร์ จะใช้บอตเน็ตเพื่อกระจายอีเมลที่เป็นอันตรายในวงกว้าง ล่าสุด,แฮกเกอร์ติดอาวุธ Lockbit Blackยังใช้บอตเน็ต Phorpiex เพื่อแพร่กระจายแรนซัมแวร์ด้วย
นอกจากนี้ บอทเน็ตยังช่วยให้สามารถทำการโจรกรรมข้อมูลจำนวนมากได้ นักวิจัยสามารถเชื่อมโยงการใช้ Ebury กับการขโมยเงินดิจิทัลได้ หากเซิร์ฟเวอร์ที่ถูกบุกรุกโฮสต์กระเป๋าเงินดิจิตอล อาชญากรไซเบอร์จะใช้ข้อมูลประจำตัวที่รวบรวมไว้เพื่อขโมยสินทรัพย์ดิจิทัล นอกจากนี้ บอตเน็ตยังถูกนำไปใช้ประโยชน์อย่างมากในการขโมยหมายเลขบัตรเครดิต โดยรวมแล้วแฮกเกอร์อาศัยเครือข่ายที่ก่อตั้งโดย Ebury เพื่อดำเนินการ« ได้รับนักการเงิน »สรุป ESET
แฮกเกอร์ถูกจับกุม
หนึ่งในอาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ได้ถูกจับกุมโดยหน่วยงานบังคับใช้กฎหมายแล้ว ในปี 2558“หนึ่งในผู้กระทำความผิดถูกจับกุมที่ชายแดนระหว่างฟินแลนด์และรัสเซีย จากนั้นจึงส่งผู้ร้ายข้ามแดนไปยังสหรัฐอเมริกา”, อธิบาย Marc-Etienne Léveillé หลังจากรักษาความบริสุทธิ์ของเขามาได้สองปี ในที่สุด ชาวรัสเซียคนนี้ก็สารภาพผิดในที่สุด
ขณะนี้เรายังไม่ทราบว่ากลุ่มเล็กๆ กลุ่มใดคือต้นกำเนิดของอีบิวรี เมื่อถูกตั้งคำถามโดยเรา Marc-Etienne Léveillé เชื่อว่าบอตเน็ตดำเนินการโดยอาชญากรไซเบอร์กลุ่มเดียว ต่างจากบอทเน็ตอื่น ๆ Ebury ไม่น่าจะให้บริการแก่ผู้เสนอราคาสูงสุด นี่อาจเป็นสาเหตุที่ทำให้ไวรัสยังคงมองไม่เห็นมานานหลายปี การสอบสวนยังคงดำเนินการเกี่ยวกับ Ebury ซึ่งผู้วิจัยอธิบายว่า“ภัยคุกคามร้ายแรง”เพื่อความปลอดภัยลินุกซ์
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : อีเซต
