Il y a dix ans, Olivier Bilodeau, Pierre-Marc Bureau, Joan Calvet, Alexis Dorais-Joncas, Marc-Étienne M.Léveillé, Benjamin Vanheuverzwijn, avaient attiré l’attention sur Ebury en publiant un livre blanc intitulé Opération Windigo, qui documentait une campagne exploitant des malwares sur Linux à des fins financières. Aujourd’hui, nous publions un document de suivi sur l’évolution d’Ebury et les nouvelles familles de malwares utilisées par ses opérateurs pour monétiser leur botnet de serveurs Linux.
Ebury est vivant mais invisible
L’arrestation et la condamnation de l’un des auteurs d’Ebury après la publication du livre blanc sur l’Opération Windigo n’ont pas empêché le botnet de se développer. Ebury, la porte dérobée OpenSSH et voleur d’identifiants, continue d’être mis à jour, comme nous l’avons rapporté en 2014 et 2017.
Nous maintenons des honeypots pour suivre les nouveaux échantillons et indicateurs de réseau. Cependant, il devient de plus en plus difficile de faire fonctionner ces honeypots à mesure qu’Ebury évolue. Par exemple, l’un de nos honeypots n’a pas réagi comme prévu lors de l’installation d’Ebury. Après des heures de débogage, les opérateurs d’Ebury ont abandonné le serveur et envoyé un message montrant qu’ils étaient au courant de nos tentatives de les tromper.
En 2021, l’Unité néerlandaise de lutte contre la cybercriminalité de haute technologie (NHTCU) a contacté ESET après avoir trouvé Ebury sur le serveur d’une victime de vol de cryptomonnaies. En travaillant ensemble, nous avons obtenu une excellente visibilité sur les activités récentes du groupe et les malwares qu’il utilise.
il est partout
Ce document révèle de nouvelles méthodes utilisées pour propager Ebury à de nouveaux serveurs. Parmi les victimes figurent de nombreux fournisseurs d’hébergement. Le gang utilise son accès à l’infrastructure du fournisseur d’hébergement pour installer Ebury sur tous les serveurs loués par ce fournisseur. Par expérience, nous avons loué un serveur virtuel auprès d’un fournisseur compromis : Ebury a été installé sur notre serveur en moins de sept jours.
Une autre méthode intéressante est l’utilisation d’attaques de l’adversaire au milieu (AitM) pour intercepter le trafic SSH de cibles intéressantes dans des centres de données et le rediriger vers un serveur utilisé pour capturer les identifiants. Les opérateurs d’Ebury exploitent les serveurs compromis d’Ebury dans le même segment de réseau que leur cible pour effectuer du spoofing ARP. Selon les télémetries Internet, plus de 200 serveurs ont été ciblés en 2023. Parmi les cibles se trouvent des nœuds Bitcoin et Ethereum. Ebury vole automatiquement les portefeuilles de cryptomonnaies hébergés sur le serveur ciblé dès que la victime saisit le mot de passe pour se connecter.
Comment monétiser Ebury
Ce nouveau document dévoile de nouvelles familles de malwares utilisées pour exploiter le botnet Ebury. En plus du spam et de la redirection de trafic web, qui sont toujours perpétrés par le gang, les requêtes HTTP POST vers et depuis les serveurs sont utilisées pour voler des informations financières sur des sites transactionnels.
Se cacher encore plus profondément
La famille de malwares Ebury elle-même a également été mise à jour. La nouvelle version majeure, 1.8, a été observée pour la première fois fin 2023. Parmi les mises à jour figurent de nouvelles techniques d’obfuscation, un nouvel algorithme de génération de domaines (DGA) et des améliorations du rootkit en espace utilisateur utilisé par Ebury pour se cacher des administrateurs système. Lorsqu’il est actif, le processus, le fichier, le socket et même la mémoire mappée sont cachés.
Le nouveau document, “Ebury is alive but unseen: 400k Linux servers compromised for cryptocurrency theft and financial gain”, fournit plus de détails sur chaque aspect d’Ebury, y compris de nombreuses spécificités techniques. Les indicateurs de compromission sont également disponibles dans le dépôt GitHub des malwares-ioc d’ESET, et un script de détection se trouve dans le dépôt de recherche sur les malwares.