Një backdoor SSH i instaluar gjatë hakimit të kernel.org mbeti i pazbuluar për dy vjet.

Studiuesit nga ESET kanë publikuar një raport prej 43 faqesh që analizon rootkit-in Ebury dhe aktivitetin e lidhur me të. Ata pretendojnë se Ebury ka qenë në përdorim që nga viti 2009 dhe që atëherë është instaluar në mbi 400 servera që funksionojnë. Linux dhe disa qindra sisteme të bazuara në FreeBSD, OpenBSD dhe Solaris. Përafërsisht 110 servera mbetën të infektuar me Ebury deri në fund të vitit 2023. Studimi është veçanërisht interesant duke pasur parasysh se Ebury u përdor në sulmin kernel.org, duke zbuluar disa detaje të reja rreth kompromentimit të infrastrukturës së zhvillimit të kernel-it. Linux, zbuluar në vitin 2011. Ebury është gjetur gjithashtu në serverat e regjistrit të domeneve, bursat e kriptove, nyjet e daljes Tor dhe disa ofruesit e hostimit, emrat e të cilëve nuk jepen.

Fillimisht u supozua se sulmuesit serverat Sulmuesit kernel.org mbetën të pazbuluar për 17 ditë, por sipas ESET, kjo periudhë u llogarit që nga momenti kur u implantua rootkit-i Phalanx. "Backdoor"-i i Ebury-t kishte qenë i pranishëm në servera që nga viti 2009 dhe mund të ishte përdorur për të fituar akses root për afërsisht dy vjet. Malware-i Ebury dhe Phalanx u instaluan në sulme të ndara dhe të dallueshme të kryera nga grupe të ndryshme sulmuesish. "Backdoor"-i i Ebury-t preku të paktën katër servera në infrastrukturën kernel.org, dy prej të cilëve u kompromentuan afërsisht dy vjet më vonë, dhe dy të tjerët brenda gjashtë muajve.

Sulmuesit fituan akses në hash-et e fjalëkalimeve të 551 përdoruesve të ruajtur në /etc/shadow, duke përfshirë të gjithë mirëmbajtësit e kernelit (llogaritë u përdorën për të hyrë në Git; pas incidentit, fjalëkalimet u ndryshuan dhe modeli i aksesit u rishikua për të përdorur nënshkrimet dixhitale ). Për 257 përdorues, sulmuesit ishin në gjendje të përcaktonin fjalëkalimet e tekstit të pastër, me sa duket duke hamendësuar fjalëkalimet duke përdorur hash dhe duke përgjuar fjalëkalimet e përdorura në SSH nga komponenti keqdashës Ebury.

Komponenti keqdashës Ebury u shpërnda si një bibliotekë e përbashkët, e cila, pasi u instalua, përgjonte funksionet e përdorura në OpenSSH për të krijuar një lidhje të largët me një sistem me të drejta rrënjësore. Sulmi nuk ishte në shënjestër dhe, si mijëra hostë të tjerë të prekur, serverët kernel.org u përdorën si pjesë e një botnet për të dërguar spam, për të vjedhur kredencialet për shpërndarje në sisteme të tjera, për të ridrejtuar trafikun në ueb dhe për të kryer aktivitete të tjera me qëllim të keq.

Për të depërtuar në serverë, janë përdorur dobësi të papatchuara në softuerin e serverit, për shembull, dobësi në panelet e pritjes, ose fjalëkalime të përgjuara (supozohet se serverët kernel.org janë hakuar si rezultat i kompromentimit të fjalëkalimit të njërit prej përdoruesve që kishte aksesi i guaskës). Dobësi të tilla si Dirty COW u përdorën për të përshkallëzuar privilegjet.

Versionet e reja të Ebury të përdorura vitet e fundit, përveç backdoor-it, përfshinin veçori të tilla si modulet për Apache httpd për proksimin e trafikut, ridrejtimin e përdoruesve dhe përgjimin e informacionit konfidencial, një modul kernel për të bërë ndryshime në trafikun transit HTTP, mjete për fshehjen tuaj trafiku nga muret e zjarrit, skriptet për kryerjen e sulmeve AitM (Adversary-in-the-Middle, MiTM me dy drejtime) për të përgjuar kredencialet SSH në rrjetet e ofruesve pritës.


Një backdoor SSH i instaluar gjatë hakimit të kernel.org mbeti i pazbuluar për dy vjet.


Burimi: opennet.ru
Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster