Canlı ama görünmez bir botnet tehlike oluşturmaya devam ediyor – TEKNOLOJİ
Ünlü Ebury Grubunun ve botnetinin yıllar içindeki faaliyetleri arasında spam yaymak, web trafiğini yeniden yönlendirmek ve kimlik bilgilerini çalmak yer alıyor. Son yıllarda kredi kartı ve kripto para hırsızlığına da yöneldi. Ebury, yaklaşık 400.000 Linux, FreeBSD ve OpenBSD sunucusunu tehlikeye atmak için bir arka kapı olarak kullanıldı; 2023'ün sonunda 100.000'den fazlası hâlâ tehlike altındaydı.
On yıl önce ESET, Ebury kötü amaçlı yazılım ailesine odaklanan ve birden fazla kötü amaçlı yazılım ailesini bir arada kullanan Windigo Operasyonu hakkında bir teknik inceleme yayınladı. 2021'in sonlarında, Hollanda Ulusal Polisinin bir parçası olan Hollanda Ulusal Yüksek Teknoloji Suç Birimi (NHTCU), Hollanda'daki sunucuların Ebury kötü amaçlı yazılımı tarafından ele geçirildiğinden şüphelenilen sunucularla ilgili olarak ESET ile temasa geçti. Bu şüphelerin doğru olduğu ortaya çıktı ve NHTCU'nun yardımıyla ESET Araştırma, Ebury tehdit aktörleri tarafından yürütülen operasyonlara ilişkin önemli bir görünürlük kazandı.
On yıldan fazla bir süredir Ebury üzerinde çalışan ESET araştırmacısı Marc-Etienne M. Léveillé; “Windigo makalesinin 2014 yılının başında yayınlanmasının ardından, suçun faillerinden biri 2015 yılında Rusya-Finlandiya sınırında tutuklandı ve ardından ABD'ye iade edildi. Başlangıçta masum olduğunu iddia etti ve bölge mahkemesine çıkması planlandı. ESET araştırmacılarının ifade vereceği Minneapolis'te ise birkaç hafta önce, 2017 yılında suçlamaları kabul ettiğini söyledi.
Ebury botnet'i kripto para cüzdanlarını, kimliklerini ve kredi kartı bilgilerini çalmak için kullanıldı
En az 2009'dan beri aktif olan Ebury, bir OpenSSH arka kapısı ve kimlik bilgisi hırsızıdır. Ek kötü amaçlı yazılım dağıtmak için kullanılır: botnet'lerden para kazanma (web trafiği yeniden yönlendirme modülleri gibi), spam için proxy trafiği, Ortadaki Düşman (AitM) saldırılarının yürütülmesi ve kötü amaçlı altyapıyı destekleyen ana bilgisayarlar. ESET, Şubat 2022 ile Mayıs 2023 arasında 34 farklı ülkede 75'ten fazla ağda gerçekleştirilen AitM saldırılarında 200'den fazla hedef gözlemledi. Operatörleri, kripto para cüzdanlarını, kimliklerini ve kredi kartı bilgilerini çalmak için Ebury botnet'ini kullandı. ESET, kâr amacı güden grup tarafından yazılan ve dağıtılan, Apache modülleri ve web trafiğini yeniden yönlendirmeye yönelik bir çekirdek modülü de dahil olmak üzere yeni kötü amaçlı yazılım aileleri keşfetti. Ebury operatörleri ayrıca sunucuların güvenliğini topluca tehlikeye atmak için yönetim yazılımındaki sıfır gün güvenlik açıklarından yararlandı.
Bir sistemin güvenliği ihlal edildiğinde çok sayıda ayrıntı dışarı sızar. Bu sistemde elde edilen şifre ve anahtarlar kullanılarak kimlik bilgileri tekrar kullanılarak ilgili sistemlere erişim sağlanmaya çalışılmaktadır. Ebury'nin her yeni büyük sürümü bazı önemli değişiklikler, yeni özellikler ve gizleme teknikleri sunar.
“Barındırma sağlayıcılarının altyapısının Ebury tarafından tehlikeye atıldığı vakaları belgeledik. Bu durumlarda, Ebury'nin bu sağlayıcılardan kiralanan sunuculara kiracılara haber verilmeden dağıtıldığını tespit ettik. Bu, Ebury'deki aktörlerin uzlaşmaya varabildiği vakalara yol açtı. aynı anda binlerce sunucu,” diyor Léveillé. Ebury için coğrafi sınır yoktur; Dünyanın hemen hemen her ülkesinde Ebury ile güvenliği ihlal edilmiş sunucular var. Bir barındırma sağlayıcısının güvenliği ihlal edildiğinde, aynı veri merkezlerinde birden fazla sunucunun güvenliği ihlal edildi. Aynı zamanda hiçbir dikey alanın diğerlerinden daha hedefli olduğu görülmemektedir. Kurbanlar arasında üniversiteler, küçük ve büyük işletmeler, İnternet servis sağlayıcıları, kripto para birimi tüccarları, Tor çıkış düğümleri, paylaşılan barındırma sağlayıcıları ve özel sunucu sağlayıcıları yer alıyor.
2019'un sonlarında, ABD merkezli büyük ve popüler bir alan adı kayıt kuruluşu ve web barındırma sağlayıcısının altyapısı tehlikeye girdi. Toplamda 2.500 civarında fiziksel sunucu ve 60 bine yakın sanal sunucu saldırganların eline geçti. Bu sunucuların hepsi olmasa da çoğu, 1,5 milyondan fazla hesap için web sitelerini barındırmak amacıyla birden fazla kullanıcı arasında paylaşılmaktadır. Başka bir olayda Ebury, 2023 yılında söz konusu barındırma sağlayıcısının toplam 70.000 sunucusuna el koydu. Linux çekirdeğinin kaynak kodunu barındıran Kernel.org da Ebury'nin kurbanı oldu.
“Ebury, Linux güvenlik topluluğu için ciddi bir tehdit ve zorluk teşkil ediyor. Ebury'yi etkisiz hale getirmek için basit bir çözüm yok, ancak yayılmasını ve etkisini en aza indirmek için bir dizi hafifletme önlemi uygulanabilir. Anlaşılması gereken nokta, sadece bunun işe yaramadığıdır. güvenliği azaltıyor” dedi Léveillé. “Bu, umursayan kuruluşların veya kişilerin başına gelmez. Teknolojiden anlayan birçok kişi ve büyük kuruluşlar da kurban listesinde yer alıyor” diye bitirdi.
Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–