ESET Research: croissance continue du botnet Ebury; 400K serveurs Linux compromis pour vol de crypto-monnaies et gain financier
Publié le 15/05/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research publie son enquête sur une des campagnes de malware serveur les plus avancées, et toujours en croissance : le groupe Ebury, ses malwares et son botnet.
• Depuis des années, Ebury a été déployé comme porte dérobée et a compromis près de 400 000 serveurs Linux, FreeBSD et OpenBSD ; plus de 100 000 étaient encore compromis fin 2023.
• Les acteurs d'Ebury ont continué à monétiser après la publication de notre livre blanc de 2014 sur l'Opération Windigo, en diffusant du spam, des redirections de trafic Web et le vol d'identifiants.
• ESET a confirmé que les opérateurs sont aussi impliqués dans le vol de crypto-monnaies.
• Dans de nombreux cas, les opérateurs d'Ebury ont obtenu un accès complet aux grands serveurs des FAI et des fournisseurs d'hébergement de renom.
BRATISLAVA, MONTREAL, le 15 mai 2024 — ESET Research a publié son enquête approfondie sur une des campagnes de malware serveur les plus avancées, toujours en croissance et a vu des centaines de milliers de serveurs compromis au cours d’une activité d’au moins 15 ans. Parmi les activités du tristement célèbre groupe Ebury et de son botnet on trouve la propagation de spam, les redirections de trafic Web et le vol d'identifiants. Plus récemment, il s’est diversifié dans le vol de cartes de crédit et de crypto-monnaies. De plus, Ebury a été utilisé comme porte dérobée pour compromettre près de 400 000 serveurs Linux, FreeBSD et OpenBSD; fin 2023, plus de 100 000 étaient encore compromis. Très souvent, les opérateurs d’Ebury ont obtenu un accès complet aux grands serveurs des FAI et de fournisseurs d’hébergement réputés.
Il y a dix ans, ESET a publié un livre blanc sur l'opération Windigo, qui utilise plusieurs familles de maliciels fonctionnant de manière combinée, avec en son centre la famille de maliciels Ebury. Fin 2021, la Dutch National High Tech Crime Unit (NHTCU), faisant partie de la police nationale néerlandaise, a contacté ESET au sujet de serveurs soupçonnés d'être compromis par le maliciels Ebury aux Pays-Bas. Ces soupçons étaient fondés et, avec l'aide du NHTCU, ESET Research a bénéficié d’informations considérables sur les opérations menées par les acteurs d'Ebury.
«Suite à la publication, début 2014, du livre blanc Windigo, un des auteurs d’Ebury a été arrêté à la frontière russo-finlandaise en 2015, puis extradé vers les États-Unis. Clamant d’abord son innocence, il a finalement plaidé coupable aux accusations portées contre lui en 2017, peu avant le début de son procès devant le tribunal de Minneapolis, où les chercheurs d'ESET devaient témoigner », explique Marc Etienne Léveillé, le chercheur d'ESET qui a enquêté sur Ebury pendant plus de 10 ans.
Ebury, actif depuis au moins 2009, vole des portes dérobées et des identifiants OpenSSH. Il déploie des maliciels supplémentaires pour monétiser son botnet (tels que des modules de redirection du trafic Web), comme proxy de trafic pour le spam, pour effectuer des attaques d'adversaire du milieu (AitM) et héberger de l’infrastructure malveillante. Lors des attaques AitM, entre février 2022 et mai 2023, ESET a trouvé plus de 200 cibles sur plus de 75 réseaux dans 34 pays.
Ses opérateurs ont utilisé le botnet Ebury pour voler des portefeuilles de crypto-monnaie, des identifiants et des détails de cartes de crédit. ESET a découvert des nouvelles familles de maliciels créés et utilisées par le gang pour des gains financiers, dont des modules Apache et un module noyau pour rediriger le trafic Web. Les opérateurs d'Ebury ont aussi utilisé des vulnérabilités Zero Day dans les logiciels d'administrateurs pour compromettre massivement les serveurs.
Lorsqu’un système est compromis, un certain nombre de détails en son exfiltrés. Avec des mots de passe et des clés connus, obtenus sur ce système, les informations d'identification sont réutilisées pour essayer de se connecter aux systèmes associés. Chaque nouvelle version d'Ebury apporte des changements significatifs ainsi que de nouvelles fonctionnalités et techniques d'obscurcissement.
« Nous avons documenté des cas où l'infrastructure des fournisseurs d'hébergement a été compromise par Ebury. Nous avons vu qu’Ebury était déployé sur des serveurs loués par ces fournisseurs, sans avertissement aux locataires. Les acteurs d'Ebury ont alors pu compromettre des milliers de serveurs en même temps », explique Léveillé. Il n'y a pas de frontière géographique pour Ebury. Il y a des serveurs compromis avec Ebury dans pratiquement tous les pays du monde. Chaque fois qu’un fournisseur d’hébergement était compromis, cela entraînait la compromission d’un grand nombre de serveurs dans les mêmes centres de données.
Durant cette période, aucun secteur vertical ne semble avoir été plus ciblé qu’un autre. Parmi les victimes il y avait des universités, des PME, des fournisseurs de services Internet, des commerçants en crypto-monnaie, des nœuds de sortie Tor, des fournisseurs d'hébergement partagé et des fournisseurs de serveurs dédiés, pour n'en citer que quelques-uns.
Fin 2019, l’infrastructure d’un grand enregistreur de noms de domaines et fournisseur d’hébergement Web basé aux États-Unis a été compromise. Au total, environ 2 500 serveurs physiques et 60 000 serveurs virtuels ont été compromis. Une grande partie, voire la totalité, de ces serveurs étaient partagés entre plusieurs utilisateurs pour héberger les sites de plus de 1,5 million de comptes. En 2023, lors d'un autre incident, 70 000 serveurs de ce même fournisseur ont été compromis par Ebury. Kernel.org, hébergeant le code source du noyau Linux, en a également été victime.
« Ebury est une menace sérieuse et un défi pour la communauté de sécurité Linux. Il y a pas de solution simple pour rendre Ebury inoffensif, mais une poignée de mesures peuvent être utilisées afin de réduire sa propagation et son impact. Cela n’arrive pas qu’aux organisations ou aux personnes moins soucieuses de sécurité. Plusieurs personnes et de grandes organisations férues de technologie se trouvent sur la liste des victimes », conclut Léveillé.
Pour plus d'informations techniques et un ensemble d'outils et d'indicateurs pour aider les administrateurs système à déterminer si leurs systèmes sont compromis par Ebury, lisez le livre blanc “Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain”. Suivez ESET Research sur Twitter (aujourd'hui X) pour les dernières nouvelles d'ESET Research.
A propos d’ESET
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les cyber-menaces connues et émergentes, en sécurisant les entreprises, les infrastructures critiques et les individus. Qu’il s’agisse de protection des terminaux, du cloud ou des mobiles, nos solutions et services basés sur l’IA et axés sur le cloud sont très efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur.
Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et le fonctionnement des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un un solide réseau mondial de partenaires. Pour plus d'informations, visitez www.eset.com ou suivez-nous sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
• Depuis des années, Ebury a été déployé comme porte dérobée et a compromis près de 400 000 serveurs Linux, FreeBSD et OpenBSD ; plus de 100 000 étaient encore compromis fin 2023.
• Les acteurs d'Ebury ont continué à monétiser après la publication de notre livre blanc de 2014 sur l'Opération Windigo, en diffusant du spam, des redirections de trafic Web et le vol d'identifiants.
• ESET a confirmé que les opérateurs sont aussi impliqués dans le vol de crypto-monnaies.
• Dans de nombreux cas, les opérateurs d'Ebury ont obtenu un accès complet aux grands serveurs des FAI et des fournisseurs d'hébergement de renom.
BRATISLAVA, MONTREAL, le 15 mai 2024 — ESET Research a publié son enquête approfondie sur une des campagnes de malware serveur les plus avancées, toujours en croissance et a vu des centaines de milliers de serveurs compromis au cours d’une activité d’au moins 15 ans. Parmi les activités du tristement célèbre groupe Ebury et de son botnet on trouve la propagation de spam, les redirections de trafic Web et le vol d'identifiants. Plus récemment, il s’est diversifié dans le vol de cartes de crédit et de crypto-monnaies. De plus, Ebury a été utilisé comme porte dérobée pour compromettre près de 400 000 serveurs Linux, FreeBSD et OpenBSD; fin 2023, plus de 100 000 étaient encore compromis. Très souvent, les opérateurs d’Ebury ont obtenu un accès complet aux grands serveurs des FAI et de fournisseurs d’hébergement réputés.
Il y a dix ans, ESET a publié un livre blanc sur l'opération Windigo, qui utilise plusieurs familles de maliciels fonctionnant de manière combinée, avec en son centre la famille de maliciels Ebury. Fin 2021, la Dutch National High Tech Crime Unit (NHTCU), faisant partie de la police nationale néerlandaise, a contacté ESET au sujet de serveurs soupçonnés d'être compromis par le maliciels Ebury aux Pays-Bas. Ces soupçons étaient fondés et, avec l'aide du NHTCU, ESET Research a bénéficié d’informations considérables sur les opérations menées par les acteurs d'Ebury.
«Suite à la publication, début 2014, du livre blanc Windigo, un des auteurs d’Ebury a été arrêté à la frontière russo-finlandaise en 2015, puis extradé vers les États-Unis. Clamant d’abord son innocence, il a finalement plaidé coupable aux accusations portées contre lui en 2017, peu avant le début de son procès devant le tribunal de Minneapolis, où les chercheurs d'ESET devaient témoigner », explique Marc Etienne Léveillé, le chercheur d'ESET qui a enquêté sur Ebury pendant plus de 10 ans.
Ebury, actif depuis au moins 2009, vole des portes dérobées et des identifiants OpenSSH. Il déploie des maliciels supplémentaires pour monétiser son botnet (tels que des modules de redirection du trafic Web), comme proxy de trafic pour le spam, pour effectuer des attaques d'adversaire du milieu (AitM) et héberger de l’infrastructure malveillante. Lors des attaques AitM, entre février 2022 et mai 2023, ESET a trouvé plus de 200 cibles sur plus de 75 réseaux dans 34 pays.
Ses opérateurs ont utilisé le botnet Ebury pour voler des portefeuilles de crypto-monnaie, des identifiants et des détails de cartes de crédit. ESET a découvert des nouvelles familles de maliciels créés et utilisées par le gang pour des gains financiers, dont des modules Apache et un module noyau pour rediriger le trafic Web. Les opérateurs d'Ebury ont aussi utilisé des vulnérabilités Zero Day dans les logiciels d'administrateurs pour compromettre massivement les serveurs.
Lorsqu’un système est compromis, un certain nombre de détails en son exfiltrés. Avec des mots de passe et des clés connus, obtenus sur ce système, les informations d'identification sont réutilisées pour essayer de se connecter aux systèmes associés. Chaque nouvelle version d'Ebury apporte des changements significatifs ainsi que de nouvelles fonctionnalités et techniques d'obscurcissement.
« Nous avons documenté des cas où l'infrastructure des fournisseurs d'hébergement a été compromise par Ebury. Nous avons vu qu’Ebury était déployé sur des serveurs loués par ces fournisseurs, sans avertissement aux locataires. Les acteurs d'Ebury ont alors pu compromettre des milliers de serveurs en même temps », explique Léveillé. Il n'y a pas de frontière géographique pour Ebury. Il y a des serveurs compromis avec Ebury dans pratiquement tous les pays du monde. Chaque fois qu’un fournisseur d’hébergement était compromis, cela entraînait la compromission d’un grand nombre de serveurs dans les mêmes centres de données.
Durant cette période, aucun secteur vertical ne semble avoir été plus ciblé qu’un autre. Parmi les victimes il y avait des universités, des PME, des fournisseurs de services Internet, des commerçants en crypto-monnaie, des nœuds de sortie Tor, des fournisseurs d'hébergement partagé et des fournisseurs de serveurs dédiés, pour n'en citer que quelques-uns.
Fin 2019, l’infrastructure d’un grand enregistreur de noms de domaines et fournisseur d’hébergement Web basé aux États-Unis a été compromise. Au total, environ 2 500 serveurs physiques et 60 000 serveurs virtuels ont été compromis. Une grande partie, voire la totalité, de ces serveurs étaient partagés entre plusieurs utilisateurs pour héberger les sites de plus de 1,5 million de comptes. En 2023, lors d'un autre incident, 70 000 serveurs de ce même fournisseur ont été compromis par Ebury. Kernel.org, hébergeant le code source du noyau Linux, en a également été victime.
« Ebury est une menace sérieuse et un défi pour la communauté de sécurité Linux. Il y a pas de solution simple pour rendre Ebury inoffensif, mais une poignée de mesures peuvent être utilisées afin de réduire sa propagation et son impact. Cela n’arrive pas qu’aux organisations ou aux personnes moins soucieuses de sécurité. Plusieurs personnes et de grandes organisations férues de technologie se trouvent sur la liste des victimes », conclut Léveillé.
Pour plus d'informations techniques et un ensemble d'outils et d'indicateurs pour aider les administrateurs système à déterminer si leurs systèmes sont compromis par Ebury, lisez le livre blanc “Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain”. Suivez ESET Research sur Twitter (aujourd'hui X) pour les dernières nouvelles d'ESET Research.
A propos d’ESET
ESET® offre une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les cyber-menaces connues et émergentes, en sécurisant les entreprises, les infrastructures critiques et les individus. Qu’il s’agisse de protection des terminaux, du cloud ou des mobiles, nos solutions et services basés sur l’IA et axés sur le cloud sont très efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur.
Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et le fonctionnement des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un un solide réseau mondial de partenaires. Pour plus d'informations, visitez www.eset.com ou suivez-nous sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.