Depuis plusieurs années, Ebury a été déployé comme porte dérobée et a compromis près de 400 000 serveurs Linux, FreeBSD et OpenBSD. Il s’agit de l’une des campagnes de malware serveur les plus avancées et elle semble toujours en croissance. Analyse.
L’éditeur ESET vient de publier une enquête approfondie sur Ebury, que nous avons lue pour vous. À ce jour, il a été utilisé comme porte dérobée afin de compromettre rien moins que 400 000 serveurs tournant sous les systèmes d’exploitation Linux, FreeBSD et OpenBSD. Fin 2023, plus de 100 000 étaient encore compromis.
Très souvent, les opérateurs d’Ebury ont obtenu un accès complet aux grands serveurs des FAI et de fournisseurs d’hébergement réputés.
Parmi les activités du groupe et de son botnet, on trouve la propagation de spam, les redirections de trafic Web et le vol d’identifiants. Plus récemment, il s’est diversifié dans le vol de cartes de crédit et de crypto-monnaies.
Ebury, actif depuis au moins 2009, vole des portes dérobées et des identifiants OpenSSH. Il déploie des maliciels supplémentaires pour monétiser son botnet (tels que des modules de redirection du trafic Web), comme proxy de trafic pour le spam, pour effectuer des attaques d’adversaire du milieu (AitM) et héberger de l’infrastructure malveillante. Lors des attaques AitM, entre février 2022 et mai 2023, l’éditeur explique avoir trouvé plus de 200 cibles sur plus de 75 réseaux dans 34 pays.
Ses opérateurs ont utilisé le botnet Ebury pour voler des portefeuilles de crypto-monnaie, des identifiants et des détails de cartes de crédit. ESET a découvert des nouvelles familles de maliciels créés et utilisées par le gang pour des gains financiers, dont des modules Apache et un module noyau pour rediriger le trafic Web. Les opérateurs d’Ebury ont aussi utilisé des vulnérabilités Zero Day dans les logiciels d’administrateurs pour compromettre massivement les serveurs.
Parmi les victimes il y avait des universités, des PME, des fournisseurs de services Internet, des commerçants en crypto-monnaie, des nœuds de sortie Tor, des fournisseurs d’hébergement partagé et des fournisseurs de serveurs dédiés, pour n’en citer que quelques-uns. Kernel.org, hébergeant le code source du noyau Linux, en a également été victime.
Le rapport complet peut être téléchargé en PDF (en anglais) gratuitement depuis le site d’ESET.
