काही दिवसांपूर्वी, ESET संशोधकांनी एक प्रकाशन प्रकाशित केले ज्यामध्ये ते संबंधित क्रियाकलापांना संबोधित करतात "एबरी" रूटकिट. अहवालानुसार, एबरी 2009 पासून सक्रिय आहे आणि लिनक्स चालवणाऱ्या 400,000 पेक्षा जास्त सर्व्हर, तसेच शेकडो फ्रीबीएसडी, ओपनबीएसडी आणि सोलारिस-आधारित प्रणालींना संक्रमित केले आहे. ESET अहवाल देतो की 2023 च्या शेवटी, Ebury द्वारे प्रभावित झालेले सुमारे 110,000 सर्व्हर अजूनही होते.
हा स्टुडिओ kernel.org वरील हल्ल्यामुळे विशेषतः संबंधित आहे ज्यामध्ये एबरी सामील होता, नवीन तपशील उघड करणे 2011 मध्ये लिनक्स कर्नल डेव्हलपमेंट इन्फ्रास्ट्रक्चरच्या घुसखोरीबद्दल. याव्यतिरिक्त, डोमेन नोंदणी सर्व्हर, क्रिप्टो एक्सचेंजेस, टोर एक्झिट नोड्स आणि अनेक अनामित होस्टिंग प्रदात्यांवर Ebury आढळले आहे.
दहा वर्षांपूर्वी आम्ही ऑपरेशन विंडिगो नावाचा एक श्वेतपत्र प्रकाशित करून Ebury बद्दल जागरुकता वाढवली, ज्याने आर्थिक फायद्यासाठी Linux मालवेअरचा लाभ घेणाऱ्या मोहिमेचे दस्तऐवजीकरण केले. आज आम्ही Ebury कसा विकसित झाला आणि त्याचे ऑपरेटर त्यांच्या Linux सर्व्हर बॉटनेटवर कमाई करण्यासाठी वापरत असलेल्या नवीन मालवेअर कुटुंबांवर एक फॉलो-अप लेख प्रकाशित करतो.
सुरुवातीला असे समजले जात होते की हल्लेखोर त्या kernel.org सर्व्हरशी तडजोड केली 17 दिवस ते सापडले नाहीत. तथापि, ESET नुसार, हा कालावधी फॅलेन्क्स रूटकिटच्या स्थापनेपासून मोजला गेला.
पण तेव्हापासून असे झाले नाही Ebury, जे आधीपासून सर्व्हरवर 2009 पासून उपस्थित होते, आणि यामुळे सुमारे दोन वर्षे रूट ऍक्सेसची परवानगी मिळाली. वेगवेगळ्या हल्ल्यांचा भाग म्हणून एबरी आणि फॅलेन्क्स स्थापित केले गेले हल्लेखोरांच्या वेगवेगळ्या गटांनी केले. Ebury बॅकडोअरच्या स्थापनेमुळे kernel.org इन्फ्रास्ट्रक्चरमधील किमान 4 सर्व्हर प्रभावित झाले, त्यापैकी दोन तडजोड आणि सुमारे दोन वर्षांपर्यंत आणि इतर दोन 6 महिन्यांच्या कालावधीसाठी सापडले नाहीत.
असा उल्लेख आहे की हल्लेखोरांनी 551 वापरकर्त्यांच्या पासवर्ड हॅशमध्ये प्रवेश केला /etc/shadow मध्ये साठवले जाते, कर्नल मेंटेनर्ससह. ही खाती ते Git मध्ये प्रवेश करण्यासाठी वापरले होते.
घटनेनंतर, पासवर्डमध्ये बदल केले गेले आणि डिजिटल स्वाक्षरी समाविष्ट करण्यासाठी प्रवेश मॉडेल सुधारित केले गेले. 257 प्रभावित वापरकर्त्यांपैकी, हल्लेखोरांनी कदाचित हॅश वापरून आणि दुर्भावनापूर्ण Ebury घटकाद्वारे SSH मध्ये वापरलेले पासवर्ड इंटरसेप्ट करून, स्पष्ट मजकूरात पासवर्ड निर्धारित करण्यात व्यवस्थापित केले.
दुर्भावनायुक्त घटक एबरी सामायिक लायब्ररी म्हणून पसरली ज्याने OpenSSH मध्ये रूट विशेषाधिकारांसह सिस्टमशी रिमोट कनेक्शन स्थापित करण्यासाठी वापरलेली फंक्शन्स रोखली. या हल्ल्याने विशेषत: kernel.org ला लक्ष्य केले नाही, आणि परिणामी, प्रभावित सर्व्हर स्पॅम पाठवण्यासाठी, इतर सिस्टमवर वापरण्यासाठी क्रेडेन्शियल्स चोरण्यासाठी, वेब ट्रॅफिक पुनर्निर्देशित करण्यासाठी आणि इतर दुर्भावनापूर्ण क्रियाकलाप करण्यासाठी वापरल्या जाणाऱ्या बॉटनेटचा भाग बनले.
Ebury मालवेअर कुटुंब देखील अद्यतनित केले गेले आहे. नवीन प्रमुख आवृत्ती अपडेट, 1.8, प्रथम 2023 च्या उत्तरार्धात दिसले. अद्यतनांमध्ये नवीन अस्पष्ट तंत्रे, एक नवीन डोमेन जनरेशन अल्गोरिदम (DGA), आणि सिस्टम प्रशासकांपासून लपवण्यासाठी Ebury द्वारे वापरल्या जाणाऱ्या वापरकर्ता रूटकिटमधील सुधारणा आहेत. सक्रिय असताना, प्रक्रिया, फाइल, सॉकेट आणि अगदी वाटप केलेली मेमरी (आकृती 6) लपलेली असते.
सर्व्हरमध्ये घुसखोरी करण्यासाठी, द हल्लेखोरांनी न पटलेल्या असुरक्षिततेचा फायदा घेतला सर्व्हर सॉफ्टवेअर मध्ये, जसे की होस्टिंग पॅनेलमधील अपयश आणि इंटरसेप्ट केलेले पासवर्ड.
याव्यतिरिक्त, असे गृहित धरले जाते की शेलमध्ये प्रवेश असलेल्या वापरकर्त्यांपैकी एकाच्या पासवर्डशी तडजोड केल्यानंतर kernel.org सर्व्हर हॅक केले गेले आणि विशेषाधिकार वाढवण्यासाठी डर्टी COW सारख्या असुरक्षा वापरल्या गेल्या.
असे नमूद केले आहे की Ebury च्या सर्वात अलीकडील आवृत्त्यांमध्ये, बॅकडोअर व्यतिरिक्त, Apache httpd साठी अतिरिक्त मॉड्यूल समाविष्ट आहेत, ज्यामुळे प्रॉक्सीद्वारे रहदारी पाठवणे, वापरकर्त्यांना पुनर्निर्देशित करणे आणि गोपनीय माहिती रोखणे शक्य होते. त्यांच्याकडे ट्रान्झिटमध्ये HTTP रहदारी सुधारण्यासाठी कर्नल मॉड्यूल आणि फायरवॉलपासून त्यांचे स्वतःचे रहदारी लपवण्यासाठी साधने देखील होती. याव्यतिरिक्त, त्यांनी ॲडव्हर्सरी-इन-द-मिडल (एआयटीएम) हल्ले करण्यासाठी स्क्रिप्ट समाविष्ट केल्या, होस्टिंग प्रदाता नेटवर्क्सवर एसएसएच क्रेडेन्शियल्स इंटरसेप्ट करणे.
शेवटी, तुम्हाला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, तुम्ही मधील तपशीलांचा सल्ला घेऊ शकता खालील दुवा.