Ebury-Botnet: 400.000 Linux-Server weltweit infiziert

In vielen Fällen konnten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen

[datensicherheit.de, 15.05.2024] Der IT-Sicherheitshersteller ESET hat nach eigenen Angaben am 15. Mai 2024 einen neuen Forschungsbericht veröffentlicht, welcher demnach das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt: Diese soll mehr als 400.000 ,Linux’-, ,FreeBSD’- und ,OpenBSD’-Server im Laufe der vergangenen 15 Jahre mit ihrer Malware infiziert haben. „Allein in den vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu.“ In vielen Fällen hätten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen können. Diese Cyber-Kriminellen betrieben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen, welche immer noch im Gange sei und sich weiter ausbreite.

Ebury vielseitig schädlich – Verbreitung von Spam, Umleitungen von Web-Traffic und Diebstahl von Anmeldedaten

„Zu den Aktivitäten der ,Ebury’-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten.“ In den letzten Jahren seien diese Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Seit mindestens 2009 diene „Ebury“ als „OpenSSH“-Hintertür und zum Diebstahl von Anmeldedaten. Sie werde verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z.B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen habe ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Ebury-Betreiber stahlen Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails

Die Betreiber hätten das „Ebury“-Botnet verwendet, um Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails zu stehlen. ESET habe neue Malware-Familien aufgedeckt, welche von dieser Bande zu finanziellen Zwecken entwickelt und eingesetzt worden seien – darunter „Apache“-Module und ein „Kernel“-Modul zur Umleitung des Webverkehrs. Die „Ebury“-Gruppe nutze auch Zero-Day-Schwachstellen in der Administratoren-Software aus, um Server massenhaft zu kompromittieren.

„Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden.“ Jede neue Hauptversion von „Ebury“ bringe einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

Ebury-Kriminelle in der Lage, Tausende von Servern auf einmal zu kompromittieren

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch ,Ebury’ kompromittiert wurde. Hierbei wurde ,Ebury’ auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, berichtet ESET-Forscher Marc-Etienne M. Léveillé, welcher „Ebury“ mehr als ein Jahrzehnt lang untersucht habe.

Diese Hacker-Gruppe kenne keine geographischen Grenzen – es gebe in fast allen Ländern der Welt mit „Ebury“ kompromittierte Server. „Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren.“ Gleichzeitig schienen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Ebury-Opfer in aller Welt

Zu den Opfern gehörten Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 sei die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert worden.

Insgesamt seien etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert worden. Ein sehr großer Teil der Server – wenn nicht alle – werde zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall seien insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch „Ebury“ kompromittiert worden. Auch „kernel.org“, der Host für den Quellcode des „Linux“-Kernels, sei unter den Opfern gewesen.

Ebury ernsthafte Bedrohung und Herausforderung für Linux-Community

„,Ebury’ stellt eine ernsthafte Bedrohung und eine Herausforderung für die ,Linux’-Community dar. Es gibt keine einfache Lösung, die ,Ebury’ unwirksam machen würde.“ Aber eine Handvoll Abhilfemaßnahmen könnten laut Léveillé angewandt werden, um die Verbreitung und die Auswirkungen zu minimieren.

Man müsse sich darüber im Klaren sein, dass es nicht nur sich weniger um die Sicherheit kümmernde Organisationen oder Einzelpersonen treffe – viele technisch versierte Personen und große Organisationen stünden auf der Liste der Opfer. Vor zehn Jahren habe ESET ein „Whitepaper“ über die Operation „Windigo“ veröffentlicht, bei der mehrere Malware-Familien in Kombination eingesetzt worden seien, wobei die „Ebury“-Malware-Familie den Kern gebildet habe.

ESET-Forscher erlangten erhebliche Einblicke in die Operationen der Ebury-Bedrohungsakteure

Ende 2021 habe sich die niederländische „National High Tech Crime Unit“ (NHTCU), ein Teil der niederländischen Polizei, an ESET wegen Servern in den Niederlanden gewandt, welche im Verdacht gestanden hätten, mit „Ebury“-Malware infiziert zu sein. „Dieser erwies sich als begründet, und mit der Unterstützung der NHTCU konnten die ESET-Forscher erhebliche Einblicke in die Operationen der ,Ebury’-Bedrohungsakteure gewinnen.“

Nach der Veröffentlichung des „Windigo-Papers“ Anfang 2014 sei einer der Täter 2015 an der finnisch-russischen Grenze festgenommen und später an die Vereinigten Staaten von Amerika ausgeliefert worden. Obwohl er zunächst seine Unschuld beteuert habe, seien von ihm schließlich 2017 die Vorwürfe eingeräumt worden – „einige Wochen bevor sein Prozess vor dem US-Bezirksgericht in Minneapolis beginnen und ESET-Forscher als Zeugen aussagen sollten“.

Weitere Informationen zum Thema:

eseT, 2024
APT Activity Report / IRAN-ALIGNED CYBERATTACKS: RISE IN DISRUPTIVE OPERATIONS / October 2023 – March 2024

datensicherheit.de, 13.02.2014
Ebury-Rootkit: Zahlreiche deutsche Server infiziert / BSI gibt Informationen für Betreiber und Provider