Ebury-Botnet infizierte 400.000 Linux-Server weltweit

Kryptodiebstahl und finanzieller Gewinn sind die vorrangigen, neuen Ziele von Ebury. [...]

Foto: PeteLinforth/Pixabay

Der IT-Sicherheitshersteller ESET hat heute einen neuen Forschungsbericht veröffentlicht, der das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt. Sie infizierte mit ihrer Malware mehr als 400.000 Linux-, FreeBSD- und OpenBSD-Server im Laufe der vergangenen 15 Jahre.

Allein in den vergangenen 18 Monaten kamen 100.000 neue betroffene hinzu. In vielen Fällen konnten die Ebury-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen. Die Cyberkriminellen betreiben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen, die immer noch im Gange ist und wächst. Weitere Informationen und den detaillierten Report haben die ESET Experten auf dem Security-Blog www.welivesecurity.com hinterlegt.

Zu den Aktivitäten der Ebury-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten. In den letzten Jahren sind die Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Ebury ist vielseitig einsetzbar

Seit mindestens 2009 dient Ebury als OpenSSH-Hintertür und zum Diebstahl von Anmeldedaten. Sie wird verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z. B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen hat ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Die Betreiber haben das Ebury-Botnet verwendet, um Kryptowährungs-Wallets, Anmeldedaten und Kreditkartendetails zu stehlen. ESET hat neue Malware-Familien aufgedeckt, die von der Bande zu finanziellen Zwecken entwickelt und eingesetzt wurden, darunter Apache-Module und ein Kernel-Modul zur Umleitung des Webverkehrs. Die Ebury-Gruppe nutzt auch Zero-Day-Schwachstellen in der Administratorensoftware aus, um Server massenhaft zu kompromittieren.

Perfide Vorgehensweise

Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden. Jede neue Hauptversion von Ebury bringt einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch Ebury kompromittiert wurde. Hierbei wurde Ebury auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, sagt ESET Forscher Marc-Etienne M. Léveillé, der Ebury mehr als ein Jahrzehnt lang untersucht hat.

Die Hackergruppe kennt keine geografischen Grenzen; es gibt in fast allen Ländern der Welt mit Ebury kompromittierte Server. Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren. Gleichzeitig scheinen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Opfer weltweit

Zu den Opfern gehören Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 wurde die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert.

Insgesamt wurden etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert. Ein sehr großer Teil, wenn nicht alle dieser Server, wird zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall wurden insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch Ebury kompromittiert. Auch Kernel.org, der Host für den Quellcode des Linux-Kernels, war ein Opfer.

„Ebury stellt eine ernsthafte Bedrohung und eine Herausforderung für die Linux-Community dar. Es gibt keine einfache Lösung, die Ebury unwirksam machen würde. Aber eine Handvoll Abhilfemaßnahmen können angewandt werden, um die Verbreitung und die Auswirkungen zu minimieren. Man muss sich darüber im Klaren sein, dass es nicht nur Organisationen oder Einzelpersonen trifft, die sich weniger um die Sicherheit kümmern. Viele technisch versierte Personen und große Organisationen stehen auf der Liste der Opfer“, schließt Léveillé.

Operation Windigo nutzte Ebury

Vor zehn Jahren veröffentlichte ESET ein Whitepaper über die Operation Windigo, bei der mehrere Malware-Familien in Kombination eingesetzt wurden, wobei die Ebury-Malware-Familie den Kern bildete. Ende 2021 wandte sich die niederländische National High Tech Crime Unit (NHTCU), ein Teil der niederländischen Polizei, an ESET wegen Servern in den Niederlanden, die im Verdacht standen, mit Ebury-Malware infiziert zu sein. Dieser erwies sich als begründet, und mit der Unterstützung der NHTCU konnten die ESET Forscher erhebliche Einblicke in die Operationen der Ebury-Bedrohungsakteure gewinnen.

Nach der Veröffentlichung des Windigo-Papers Anfang 2014 wurde einer der Täter 2015 an der finnisch-russischen Grenze festgenommen und später an die Vereinigten Staaten ausgeliefert. Obwohl er zunächst seine Unschuld beteuerte, räumte er schließlich 2017 die Vorwürfe ein, einige Wochen bevor sein Prozess vor dem US-Bezirksgericht in Minneapolis beginnen und ESET Forscher als Zeugen aussagen sollten.

Die ausführliche Analyse finden Sie hier.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*