Ebury ha estado activo desde 2009 y actualmente afecta mas de 400,000 servidores Linux
Hace pocos días, Investigadores de ESET realizaron una publicación en la cual abordan las actividades asociadas al rootkit «Ebury». Según el informe, Ebury ha estado en activo desde 2009 y ha infectado más de 400,000 servidores que corren Linux, así como varios cientos de sistemas basados en FreeBSD, OpenBSD y Solaris. ESET informa que a finales de 2023, aún había alrededor de 110,000 servidores afectados por Ebury.
Este estudio es particularmente relevante debido al ataque a kernel.org en el que Ebury estuvo involucrado, revelando nuevos detalles sobre la infiltración de la infraestructura de desarrollo del kernel de Linux en 2011. Además, Ebury se ha detectado en servidores de registro de dominios, intercambios de cifrado, nodos de salida Tor y varios proveedores de alojamiento anónimos.
Hace diez años creamos conciencia sobre Ebury mediante la publicación de un documento técnico que llamamos Operación Windigo , que documentaba una campaña que aprovechaba el malware de Linux para obtener ganancias financieras. Hoy publicamos un artículo de seguimiento sobre cómo ha evolucionado Ebury y las nuevas familias de malware que sus operadores utilizan para monetizar su botnet de servidores Linux.
Inicialmente se pensó que los atacantes que comprometieron los servidores de kernel.org permanecieron indetectados durante 17 días. Sin embargo, según ESET, este período se calculó desde la instalación del rootkit Phalanx.
Pero esto no fue asi, ya que Ebury, que ya estaba presente en los servidores desde 2009, y esto permitió el acceso root durante aproximadamente dos años. Ebury y Phalanx fueron instalados como parte de diferentes ataques realizados por grupos de atacantes distintos. La instalación de la puerta trasera Ebury afectó al menos a 4 servidores en la infraestructura de kernel.org, dos de los cuales estuvieron comprometidos y sin ser detectados durante unos dos años y los otros dos durante un período de 6 meses.
Se menciona que los atacantes lograron acceder a los hashes de contraseñas de 551 usuarios almacenados en /etc/shadow, incluidos los mantenedores del kernel. Estas cuentas se utilizaban para acceder a Git.
Después del incidente, se realizaron cambios en las contraseñas y se revisó el modelo de acceso para incorporar firmas digitales. De los 257 usuarios afectados, los atacantes lograron determinar las contraseñas en texto claro, probablemente mediante el uso de hashes y la interceptación de contraseñas utilizadas en SSH por el componente malicioso Ebury.
El componente malicioso Ebury se propagó como una biblioteca compartida que interceptaba las funciones utilizadas en OpenSSH para establecer conexiones remotas con sistemas con privilegios de root. Este ataque no fue dirigido específicamente a kernel.org y, como resultado, los servidores afectados se convirtieron en parte de una botnet utilizada para enviar spam, robar credenciales para su uso en otros sistemas, redirigir el tráfico web y llevar a cabo otras actividades maliciosas.
La propia familia de malware Ebury también ha sido actualizada. La nueva actualización principal de la versión, 1.8, se vio por primera vez a finales de 2023. Entre las actualizaciones se encuentran nuevas técnicas de ofuscación, un nuevo algoritmo de generación de dominio (DGA) y mejoras en el rootkit de usuario utilizado por Ebury para ocultarse de los administradores del sistema. Cuando está activo, el proceso, el archivo, el socket e incluso la memoria asignada (Figura 6) están ocultos.
Para poder infiltrarse en los servidores, los atacantes explotaron vulnerabilidades no parcheadas en el software del servidor, como fallos en los paneles de alojamiento y contraseñas interceptadas.
Además de ello, se presume que los servidores de kernel.org fueron hackeados tras comprometer la contraseña de uno de los usuarios con acceso al shell y vulnerabilidades como Dirty COW se utilizaron para escalar privilegios.
Se menciona que las versiones más recientes de Ebury, además del backdoor, incluían módulos adicionales para Apache httpd, permitiendo enviar tráfico mediante proxy, redirigir usuarios e interceptar información confidencial. También contaban con un módulo del kernel para modificar el tráfico HTTP en tránsito y herramientas para ocultar su propio tráfico de los firewalls. Además, incluían scripts para llevar a cabo ataques Adversary-in-the-Middle (AitM), interceptando credenciales SSH en redes de proveedores de alojamiento.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.