SSH-бэкдор, усталяваны пры ўзломе kernel.org, два гады заставаўся незаўважаным

Даследнікі з кампаніі ESET апублікавалі 43-старонкавы справаздачу з аналізам руткіта Ebury і звязанай з ім актыўнасці. Сцвярджаецца, што Ebury прымяняецца з 2009 года і з тых часоў быў усталяваны на больш за 400 тысяч сервераў пад кіраваннем Linux і некалькі сотняў сістэм на базе FreeBSD, OpenBSD і Solaris. Каля 110 тысяч сервераў заставаліся здзіўлены Ebury па стане на канец 2023 года. Даследаванне ўяўляе асобную цікавасць з улікам таго, што Ebury быў задзейнічаны пры нападзе на kernel.org, што адкрывае некаторыя новыя падрабязнасці кампраметацыі інфраструктуры распрацоўкі ядра. Linux, выяўленай у 2011 годзе. Ebury таксама быў выяўлены на серверах рэгістратара даменаў, крыптабіржах, выходных вузлах Tor і ў некалькіх. хостынг-правайдэраў, імёны якіх не называюцца.

Першапачаткова меркавалася, што атакавалыя серверы kernel.org зламыснікі заставаліся незаўважанымі 17 дзён, але па дадзеных ESET гэты час разлічана з моманту падстаноўкі руткіта Phalanx, а бэкдор Ebury знаходзіўся на серверах з 2009 года і каля двух гадоў мог выкарыстоўвацца для атрымання root-доступу да сервераў. Шкоднаснае ПА Ebury і Phalanx усталявана ў рамках розных нападаў, не перасякальных сябар з сябрам і праводжаных рознымі групамі зламыснікаў. Укараненне бэкдора Ebury закранула як мінімум 4 сервера ў інфраструктуры kernel.org, два з якіх былі здзіўлены прыблізна на працягу двух гадоў, а астатнія два – на працягу 6 месяцаў.

Атакуючыя атрымалі доступ да хэшаў пароляў 551 карыстальніка, якія захоўваюцца ў /etc/shadow, сярод якіх былі ўсе мэйнтэйнеры ядра (акаўнты выкарыстоўваліся для доступу ў Git; пасля інцыдэнту паролі былі замененыя, а мадэль доступу была перагледжана і пераведзена на выкарыстанне лічбавых подпісаў). Для 257 карыстачоў атакавалым атрымалася вызначыць паролі ў адчыненым выглядзе, меркавана шляхам падбору пароляў па хэшах і праз перахоп шкоднасным кампанентам Ebury пароляў, выкарыстоўваных у SSH.

Шкоднасны кампанент Ebury распаўсюджваўся ў выглядзе падзялянай бібліятэкі, якая пасля ўсталёўкі перахапляла функцыі, выкарыстоўваныя ў OpenSSH, для арганізацыі выдаленага падлучэння да сістэмы c правамі root. Атака была не мэтавай і, як і іншыя здзіўленыя тысячы хастоў, серверы kernel.org выкарыстоўваліся як частка ботнета для рассылання спаму, крадзяжы ўліковых дадзеных для распаўсюджвання на іншых сістэмах, перанакіраванні web-трафіку і здзяйсненні іншай шкоднаснай дзейнасці.

Для пранікнення на серверы выкарыстоўваліся невыпраўленыя ўразлівасці ў серверным ПЗ, напрыклад, уразлівасці ў хостынг-панэлях, або перахопленыя паролі (мяркуецца, што серверы kernel.org быў узламаныя ў выніку кампраметацыі пароля аднаго з карыстачоў, які меў shell-доступ). Для падвышэння прывілеяў выкарыстоўваліся ўразлівасці, такія як Dirty COW.

Ужывальныя ў апошнія гады новыя версіі Ebury акрамя бэкдора ўключалі ў сябе такія магчымасці, як модулі да Apache httpd для праксіравання трафіку, перанакіраванні карыстачоў і перахопу канфідэнцыйнай інфармацыі, модуль ядра для занясення змен у транзітны HTTP-трафік, прылады для ўтойвання ўласнага трафіку ад міжсеткавых экранаў (Adversary-in-the-Middle, двунакіраваны MiTM) для перахопу уліковых дадзеных SSH у сетках хостынг-правайдэраў.


SSH-бэкдор, усталяваны пры ўзломе kernel.org, два гады заставаўся незаўважаным


Крыніца: opennet.ru
Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы 🔥 Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы | ProHoster