SSH-бэкдор, установлСнный ΠΏΡ€ΠΈ Π²Π·Π»ΠΎΠΌΠ΅ kernel.org, Π΄Π²Π° Π³ΠΎΠ΄Π° оставался Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌ

Π˜ΡΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ ΠΈΠ· ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ESET ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»ΠΈ 43-страничный ΠΎΡ‚Ρ‡Ρ‘Ρ‚ с Π°Π½Π°Π»ΠΈΠ·ΠΎΠΌ Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Π° Ebury ΠΈ связанной с Π½ΠΈΠΌ активности. УтвСрТдаСтся, Ρ‡Ρ‚ΠΎ Ebury примСняСтся с 2009 Π³ΠΎΠ΄Π° ΠΈ с Ρ‚Π΅Ρ… ΠΏΠΎΡ€ Π±Ρ‹Π» установлСн Π½Π° Π±ΠΎΠ»Π΅Π΅ Ρ‡Π΅ΠΌ 400 тысяч сСрвСров ΠΏΠΎΠ΄ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ΠΌ Linux ΠΈ нСсколько сотСн систСм Π½Π° Π±Π°Π·Π΅ FreeBSD, OpenBSD ΠΈ Solaris. Около 110 тысяч сСрвСров ΠΎΡΡ‚Π°Π²Π°Π»ΠΈΡΡŒ ΠΏΠΎΡ€Π°ΠΆΠ΅Π½Ρ‹ Ebury ΠΏΠΎ ΡΠΎΡΡ‚ΠΎΡΠ½ΠΈΡŽ Π½Π° ΠΊΠΎΠ½Π΅Ρ† 2023 Π³ΠΎΠ΄Π°. ИсслСдованиС прСдставляСт ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹ΠΉ интСрСс с ΡƒΡ‡Ρ‘Ρ‚ΠΎΠΌ Ρ‚ΠΎΠ³ΠΎ, Ρ‡Ρ‚ΠΎ Ebury Π±Ρ‹Π» задСйствован ΠΏΡ€ΠΈ Π°Ρ‚Π°ΠΊΠ΅ Π½Π° kernel.org, Ρ‡Ρ‚ΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π½ΠΎΠ²Ρ‹Π΅ подробности ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ инфраструктуры Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ ядра Linux, выявлСнной Π² 2011 Π³ΠΎΠ΄Ρƒ. Ebury Ρ‚Π°ΠΊΠΆΠ΅ Π±Ρ‹Π» выявлСн Π½Π° сСрвСрах рСгистратора Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠ±ΠΈΡ€ΠΆΠ°Ρ…, Π²Ρ‹Ρ…ΠΎΠ΄Π½Ρ‹Ρ… ΡƒΠ·Π»Π°Ρ… Tor ΠΈ Ρƒ Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… хостинг-ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ², ΠΈΠΌΠ΅Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π΅ Π½Π°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ.

Π˜Π·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»Π°Π³Π°Π»ΠΎΡΡŒ, Ρ‡Ρ‚ΠΎ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Π²ΡˆΠΈΠ΅ сСрвСры kernel.org Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΎΡΡ‚Π°Π²Π°Π»ΠΈΡΡŒ Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌΠΈ 17 Π΄Π½Π΅ΠΉ, Π½ΠΎ ΠΏΠΎ Π΄Π°Π½Π½Ρ‹ΠΌ ESET это врСмя рассчитано с ΠΌΠΎΠΌΠ΅Π½Ρ‚Π° подстановки Ρ€ΡƒΡ‚ΠΊΠΈΡ‚Π° Phalanx, Π° бэкдор Ebury находился Π½Π° сСрвСрах с 2009 Π³ΠΎΠ΄Π° ΠΈ ΠΎΠΊΠΎΠ»ΠΎ Π΄Π²ΡƒΡ… Π»Π΅Ρ‚ ΠΌΠΎΠ³ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для получСния root-доступа ΠΊ сСрвСрам. ВрСдоносноС ПО Ebury ΠΈ Phalanx установлСно Π² Ρ€Π°ΠΌΠΊΠ°Ρ… Ρ€Π°Π·Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, Π½Π΅ ΠΏΠ΅Ρ€Π΅ΡΠ΅ΠΊΠ°ΡŽΡ‰ΠΈΡ…ΡΡ Π΄Ρ€ΡƒΠ³ с Π΄Ρ€ΡƒΠ³ΠΎΠΌ ΠΈ ΠΏΡ€ΠΎΠ²ΠΎΠ΄ΠΈΠΌΡ‹Ρ… Ρ€Π°Π·Π½Ρ‹ΠΌΠΈ Π³Ρ€ΡƒΠΏΠΏΠ°ΠΌΠΈ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ бэкдора Ebury Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ»ΠΎ ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌ 4 сСрвСра Π² инфраструктурС kernel.org, Π΄Π²Π° ΠΈΠ· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π±Ρ‹Π»ΠΈ ΠΏΠΎΡ€Π°ΠΆΠ΅Π½Ρ‹ ΠΏΡ€ΠΈΠ±Π»ΠΈΠ·ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠΈ Π΄Π²ΡƒΡ… Π»Π΅Ρ‚, Π° ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Π΅ Π΄Π²Π° — Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠΈ 6 мСсяцСв.

ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ»ΠΈ доступ ΠΊ хранящимся Π² /etc/shadow Ρ…ΡΡˆΠ°ΠΌ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ 551 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ, срСди ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π±Ρ‹Π»ΠΈ всС мэйнтСйнСры ядра (Π°ΠΊΠΊΠ°ΡƒΠ½Ρ‚Ρ‹ использовались для доступа Π² Git; послС ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π° ΠΏΠ°Ρ€ΠΎΠ»ΠΈ Π±Ρ‹Π»ΠΈ Π·Π°ΠΌΠ΅Π½Π΅Π½Ρ‹, Π° модСль доступа Π±Ρ‹Π»Π° пСрСсмотрСна ΠΈ ΠΏΠ΅Ρ€Π΅Π²Π΅Π΄Π΅Π½Π° Π½Π° использованиС Ρ†ΠΈΡ„Ρ€ΠΎΠ²Ρ‹Ρ… подписСй). Для 257 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΌ ΡƒΠ΄Π°Π»ΠΎΡΡŒ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΏΠ°Ρ€ΠΎΠ»ΠΈ Π² ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΌ Π²ΠΈΠ΄Π΅, ΠΏΡ€Π΅Π΄ΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΏΡƒΡ‚Ρ‘ΠΌ ΠΏΠΎΠ΄Π±ΠΎΡ€Π° ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΏΠΎ Ρ…ΡΡˆΠ°ΠΌ ΠΈ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚ врСдоносным ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠΌ Ebury ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Ρ… Π² SSH.

ВрСдоносный ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ Ebury распространялся Π² Π²ΠΈΠ΄Π΅ раздСляСмой Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ, которая послС установки ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°Π»Π° Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ Π² OpenSSH, для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ ΡƒΠ΄Π°Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ ΠΊ систСмС c ΠΏΡ€Π°Π²Π°ΠΌΠΈ root. Атака Π±Ρ‹Π»Π° Π½Π΅ Ρ†Π΅Π»Π΅Π²ΠΎΠΉ ΠΈ, ΠΊΠ°ΠΊ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΏΠΎΡ€Π°ΠΆΡ‘Π½Π½Ρ‹Π΅ тысячи хостов, сСрвСры kernel.org использовались ΠΊΠ°ΠΊ Ρ‡Π°ΡΡ‚ΡŒ Π±ΠΎΡ‚Π½Π΅Ρ‚Π° для рассылки спама, ΠΊΡ€Π°ΠΆΠΈ ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… для распространСния Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΡ… систСмах, пСрСнаправлСния web-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΈ ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π΄Ρ€ΡƒΠ³ΠΎΠΉ врСдоносной Π΄Π΅ΡΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ.

Для проникновСния Π½Π° сСрвСры использовались нСисправлСнныС уязвимости Π² сСрвСрном ПО, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, уязвимости Π² хостинг-панСлях, ΠΈΠ»ΠΈ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‡Π΅Π½Π½Ρ‹Π΅ ΠΏΠ°Ρ€ΠΎΠ»ΠΈ (прСдполагаСтся, Ρ‡Ρ‚ΠΎ сСрвСры kernel.org Π±Ρ‹Π» Π²Π·Π»ΠΎΠΌΠ°Π½Ρ‹ Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ пароля ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΠΈΠ· ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, имСвшСго shell-доступ). Для ΠΏΠΎΠ²Ρ‹ΡˆΠ΅Π½ΠΈΡ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ использовались уязвимости, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Dirty COW.

ΠŸΡ€ΠΈΠΌΠ΅Π½ΡΠ΅ΠΌΡ‹Π΅ Π² послСдниС Π³ΠΎΠ΄Ρ‹ Π½ΠΎΠ²Ρ‹Π΅ вСрсии Ebury ΠΊΡ€ΠΎΠΌΠ΅ бэкдора Π²ΠΊΠ»ΡŽΡ‡Π°Π»ΠΈ Π² сСбя Ρ‚Π°ΠΊΠΈΠ΅ возмоТности, ΠΊΠ°ΠΊ ΠΌΠΎΠ΄ΡƒΠ»ΠΈ ΠΊ Apache httpd для проксирования Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, пСрСнаправлСния ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΈ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ, ΠΌΠΎΠ΄ΡƒΠ»ΡŒ ядра для внСсСния ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ Π² Ρ‚Ρ€Π°Π½Π·ΠΈΡ‚Π½Ρ‹ΠΉ HTTP-Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, инструмСнты для скрытия собствСнного Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΎΡ‚ мСТсСтСвых экранов, скрипты для провСдСния AitM-Π°Ρ‚Π°ΠΊ (Adversary-in-the-Middle, Π΄Π²ΡƒΠ½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹ΠΉ MiTM) для ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Π° ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… SSH Π² сСтях хостинг-ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ².

SSH-бэкдор, установлСнный ΠΏΡ€ΠΈ Π²Π·Π»ΠΎΠΌΠ΅ kernel.org, Π΄Π²Π° Π³ΠΎΠ΄Π° оставался Π½Π΅Π·Π°ΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹ΠΌ


Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru