קרוב ל-400,000 שרתי לינוקס קיבלו "שי": נוזקות

לאט אבל בטוח: אחד ממסעות הנוזקות המתקדמים צלח ופרץ למאות אלפי שרתים ב-15 שנות פעילות.

לפי חוקרי אבטחת המידע של ESET, "קבוצת הבוטנט Ebury חיה ומשגשגת – 400,000 שרתי לינוקס נפרצו למטרות גניבת מטבעות דיגיטליים ורווח כספי".

לפי המחקר, "זהו אחד מקמפייני נוזקות השרתים המתקדמים ביותר, שהצליח לפרוץ מאות אלפי שרתים במהלך 15 שנות הפעילות שלו. קבוצת Ebury והבוטנט שלה פעלה להפצת דואר זבל, ניתוב מחדש של תעבורת רשת וגניבת סיסמאות". בשנים האחרונות, ציינו, הקבוצה שינתה את ייעודה לגניבת כרטיסי אשראי ומטבעות דיגיטליים. בנוסף, נוזקות של Ebury הוטמעו כדלתות אחוריות לטובת פריצה של כמעט 400,000 שרתי לינוקס, FreeBSD ו-OpenBSD, "ביותר מ-100,000 שרתים הפירצה עדיין הייתה קיימת בסוף שנת 2023".

לפי המחקר, במקרים רבים, מפעילי Ebury הצליחו לקבל גישה מלאה לשרתים גדולים של ספקיות אינטרנט וספקיות שירותי אחסון ידועות.

לפני עשר שנים, חוקרי ESET כתבו על מבצע Windigo, שבו נעשה שימוש בכמה נוזקות, ממשפחות שונות, שפעלו במקביל – כאשר הנוזקות ממשפחת Ebury היו בליבת הקמפיין. ב-2015 נעצר אחד מההאקרים בגבול פינלנד-רוסיה, הוסגר לארה"ב, ולאחר שטען שהוא חף מפשע, הודה באישומים ב-2017.

בסוף 2021, יחידת הפשע הטכנולוגי הלאומית במשטרת הולנד (Dutch National High Tech Crime Unit – NHTCU), פנתה ל-ESET בנוגע לפריצה זו.

מארק אטיין, חוקר ESET שעוקב אחר פעולות Ebury משך יותר מעשור, אמר כי "הקבוצה פעילה לפחות מ-2009, ופיתחה דלת אחורית בפרוטוקול OpenSSH ונוזקה לגניבת סיסמאות. היא משמשת להדבקה בנוזקות נוספת, כדי לייצר רווחים מרשת הבוטנט – למשל, באמצעות מודולים לניתוב תעבורת רשת, תעבורת פרוקסי, הפצת דואר זבל, מתקפות 'גורם זדוני בתווך' AitM, ואחסון תשתיות לפעולות זדוניות. בין 2022-2023 זיהינו יותר מ-200 מטרות ביותר מ-75 רשתות ו-34 מדינות שונות – במתקפות 'גורם זדוני בתווך'. מפעילי Ebury השתמשו בה לגניבת ארנקי מטבעות דיגיטליים, סיסמאות ופרטי כרטיסי אשראי".

החוקרים מצאו משפחות נוזקות חדשות שנוצרו והופצו על ידי חברי הקבוצה, בהן ישנם מודולים לשרתי Apache ומודולי Kernel לניתוב מחדש של תעבורת רשת. ההאקרים השתמשו גם בפרצות zero-day  ובתוכנות ניהול, כדי לפרוץ לשרתים באופן סדרתי.

לאחר פריצה למערכת, התוקפים השיגו כמה פרטים. באמצעות הסיסמאות והמפתחות שהושגו, פרטי הגישה האלה שימשו לניסיונות התחברות למערכות קשורות.

אטיין אמר כי "תיעדנו מקרים שבהם ההאקרים תקפו בהצלחה תשתית של ספקיות אחסון, הדביקו אותה ומשם הצליחו לפרוץ לאלפי שרתים שונים במקביל ובו זמנית. זה קרה במדינות רבות בעולם ובכל מגזרי התעשייה – אוניברסיטאות, עסקים קטנים וגדולים, ספקיות שירותי אינטרנט, סוחרי מטבעות דיגיטליים, תחנות יציאה ברשת Tor, ספקי שירותי אחסון משותפים ועוד רבים".

בסוף 2019, ההאקרים התגלו כאחראים לפריצה של רשם דומיינים וספק שירותי אחסון גדול וידוע בארה"ב. בסך הכל, התוקפים הצליחו לפרוץ ל-2,500 שרתים פיזיים ול-60,000 שרתים וירטואליים. חלק גדול מהשרתים הללו משרתים משתמשים לאחסון אתרי האינטרנט של יותר מ-1.5 מיליון חשבונות. בתקרית אחרת, 70,000 שרתים – של אותו ספק שירותי האחסון –  נפרצו על ידי ההאקרים ב-2023. האתר Kernel.org, שמאחסן את קוד המקור של ה-Kernel של לינוקס, הותקף גם הוא על ידם.

החוקרים סיכמו בכותבם, כי "נוזקת Ebury מהווה איום ואתגר משמעותיים לקהילת האבטחה הפועלת בסביבת לינוקס. אין תיקון פשוט שיסכל את Ebury, אך ישנם צעדים מונעים רבים שניתן להחיל. הידבקות ב-Ebury לא מתרחשת רק אצל ארגונים או אנשים שמשקיעים פחות באבטחה – גם אנשים וארגונים בעלי זיקה טכנולוגית נמנים עם קורבנות הקבוצה".