请记住:2014 年,ESET 网络安全研究人员发现针对 Linux 服务器的强大僵尸网络。为了破坏服务器,该行动背后的网络犯罪分子(称为 Windigo)依靠和 Ebury 恶意软件,OpenSSH 远程连接软件的恶意版本。
十年后,Ebury 僵尸网络被认为“服务器上最先进的恶意软件活动之一”,仍然处于活动状态,ESET 发出警告。作为在布拉迪斯拉发(斯洛伐克)举办的会议的一部分,ESET 研究员 Marc-Etienne Léveillé 公布了一项持续十年的大规模调查结果。调查由 ESET 在荷兰国家警察的协助下进行。三年前,荷兰警方的一个部门发现“荷兰的服务器疑似受到 Ebury 恶意软件的攻击”。
超过十五年的活动
Ebury的出现可以追溯到超过十五年,表示斯洛伐克公司。该病毒的第一个踪迹于 2009 年被发现。自出现以来,该恶意软件一直被秘密安装在服务器上,以允许攻击者在不被安全机制检测到的情况下访问这些系统。正如 ESET 所解释的,Ebury 是“OpenSSH 后门”,用于安全访问远程计算机的软件。通过在软件中植入后门,黑客可以控制服务器并将其添加到他们的僵尸网络中。该病毒还可以作为“身份验证数据窃贼”,例如用户名和密码。
“系统遭到破坏后,许多细节都会被泄露。使用在此系统上获得的已知密码,凭据将被重新用于尝试登录相关系统”,详细信息 ESET。
在攻击的根源上,我们发现身份数据被盗。该操作实际上是基于敏感信息泄露。正是由于窃取了数据,黑客才能够获得“管理员权限”需要安装后门。一旦数据被盗,他们通常会发起撞库攻击,或者« 凭证填充 »用英语。此类攻击涉及使用从一项服务窃取的凭据(用户名和密码)列表来尝试连接到其他服务。
近 400,000 台服务器受到威胁
多亏了这个后门,黑客才能够入侵近 400,000 台服务器运行 Linux、FreeBSD 和 OpenBSD。截至去年底,仍有超过10万台受感染的服务器仍在黑客手中。多年来,受 Ebury 攻击的服务器数量猛增。
“不断有新服务器受到威胁,而其他服务器则被清理或关闭”,强调 ESET。
据魁北克研究人员称,海盗经常瞄准“网络主机基础设施”。 Ebury 已部署于“这些供应商租用的服务器”。事实上,海盗能够控制“同时有数千台服务器”。据他介绍,有“世界上几乎每个国家的服务器都受到了 Ebury 的攻击”。
垃圾邮件和加密货币盗窃
不出所料,攻击者将其控制下的服务器货币化。 ESET 发现黑客在受感染的计算机上安装了模块,以将互联网流量重定向到特定站点。这种伎俩可以人为地增加某些网站的流量或显示广告,从而产生欺诈性的广告收入。
通过这支受感染的服务器大军,网络犯罪分子还精心策划了广泛的垃圾邮件活动。这些服务器被用作中继来发送大量垃圾邮件,同时隐藏邮件的来源。包括勒索软件专家在内的网络犯罪分子利用僵尸网络大规模分发恶意电子邮件的情况并不罕见。最近,配备 Lockbit Black 的黑客还使用 Phorpiex 僵尸网络传播勒索软件。
此外,僵尸网络还使得大规模盗窃成为可能。研究人员能够将 Ebury 的使用与加密货币盗窃联系起来。如果受感染的服务器托管加密钱包,网络犯罪分子就会使用收集到的凭据来窃取数字资产。此外,该僵尸网络还被严重利用来窃取信用卡号码。总体而言,黑客依靠 Ebury 形成的网络来进行« 赢得金融家 »,总结了 ESET。
一名黑客已被捕
网络攻击背后的一名网络犯罪分子已被执法部门逮捕。 2015年,“其中一名肇事者在芬兰和俄罗斯边境被捕,然后被引渡到美国””,Marc-Etienne Léveillé 解释道。在坚称自己无罪两年后,这名俄罗斯公民最终认罪。
目前,我们还不知道埃伯里的起源是哪一个小团体。在我们的询问下,Marc-Etienne Léveillé 认为该僵尸网络是由一组网络犯罪分子运营的。与其他僵尸网络不同,Ebury 可能不会提供给最高出价者。这可能就是为什么这种病毒多年来相对不可见的原因。关于埃伯里的调查仍在进行中,研究人员将其描述为“严重威胁”为了Linux安全。
来源 : 埃塞特
