400 mil servidores Linux afetados pela botnet Ebury em 15 anos

A ação da botnet Ebury Linux continuou ininterrupta ao longo da última década. Um relatório recente da Eset revela que, desde 2009, a Ebury afetou mais de 400 mil sistemas Linux para obter ganhos financeiros, sendo que cerca de cem mil correspondem a sistemas infetados identificados no final de 2023.

“Há uma agitação constante de novos servidores comprometidos enquanto outros são limpos ou desativados”, observa a Eset. A botnet atingiu o pico de 110 mil sistemas afetados em 2023, após comprometer um grande fornecedor de hospedagem e infetar cerca de 70 mil servidores.

Muitos dos sistemas infetados pela Ebury são, na verdade, servidores pertencentes a provedores de hospedagem, o que permite aos cibercriminosos intercetar o tráfego SSH dos seus alvos e redirecioná-lo para um servidor controlado pelos invasores para capturar as credenciais de login.

“Quase todos os sistemas comprometidos são servidores, e não dispositivos de utilizadores finais. Os servidores ajudam a administrar a Internet ao hospedar páginas da web, agindo como servidores de nomes autorizados, realizando transações financeiras, etc.”, ressalta a Eset.

Além disso, os operadores de malware foram observados a visar exit nodes do Tor, bem como do Bitcoin e Ethereum para furtar carteiras de criptomoedas e para espiar o tráfego da rede para exfiltrar dados de cartão de crédito.

Segundo a Eset, os operadores da botnet são altamente ativos, utilizando zero-days no software de administrador para comprometer servidores em massa, visando a infraestrutura de outros agentes de ameaças para furtar dados exfiltrados das suas vítimas, e recorrendo a malware novo para realizar o redirecionamento do tráfego da web.

A botnet Ebury está a ser implantada nos sistemas comprometidos com privilégios de root, recorrendo a técnicas como preenchimento de credenciais para comprometer hosts, acesso a hypervisors para atacar todos os subsistemas, fornecedores de hospedagem comprometidos para infetar todos os servidores alugados, e SSH adversary-in-the-middle (AitM).

Além disto, os operadores do malware foram observados a explorar bugs zero-day, como a CVE-2021-45467, um problema de inclusão de ficheiro não autenticado no painel de hospedagem web Control Web Panel (CWP), e a CVE-2016-5195 (Dirty COW), uma race condition no kernel do Linux que leva à escalação de privilégios.

A botnet foi instalada, entre 2009 e 2011, em pelo menos quatro servidores pertencentes à Linux Foundation, dando aos seus operadores acesso a ficheiros que continham centenas de credenciais de login.

Os operadores da botnet utilizaram também um script Perl para detetar outros “ladrões” de credenciais OpenSSH e recolher informações dos mesmos. Comprometeram também a infraestrutura utilizada por outros ladrões, como servidores usados pelo Vidar Stealer e um sistema do autor da botnet Mirai.

Os operadores da Ebudy encetaram ataques AitM contra pelo menos 200 alvos em 75 sistemas autónomos em 34 países, de acordo com a ESET.