Муҳаққиқони ESET гузориши 43-саҳифагиро нашр карданд, ки дар он руткити Ebury ва фаъолияти марбут ба он таҳлил карда шудааст. Гуфта мешавад, ки Ebury аз соли 2009 инҷониб истифода мешавад ва аз он вақт инҷониб дар зиёда аз 400 серверҳои Linux ва садҳо системаҳои FreeBSD, OpenBSD ва Solaris насб карда шудааст. То охири соли 2023 тақрибан 110 сервер бо Ebury сироят ёфтаанд. Ин таҳқиқот махсусан ҷолиб аст, зеро Ebury дар ҳамлаи kernel.org истифода шудааст ва баъзе тафсилоти навро дар бораи осеб дидани инфрасохтори таҳияи ядрои Linux, ки дар соли 2011 кашф шудааст, ошкор мекунад. Ebury инчунин дар серверҳои бақайдгирандаи доменҳо, биржаҳои крипто, гиреҳҳои баромади Tor ва якчанд серверҳо ошкор карда шудааст. провайдерҳои хостинг, ки номашон зикр нашудааст.
Дар аввал тахмин зада мешуд, ки ҳамлагарон серверҳо Ҳамлагарони kernel.org дар тӯли 17 рӯз ошкор нашуданд, аммо мувофиқи ESET, ин давра аз лаҳзаи ворид кардани руткити Phalanx ҳисоб карда шуд. Дарвозаи пуштибонии Ebury аз соли 2009 дар серверҳо мавҷуд буд ва метавонист тақрибан ду сол барои ба даст овардани дастрасӣ ба реша истифода шавад. Нармафзори зараровари Ebury ва Phalanx дар ҳамлаҳои алоҳида ва фарқкунанда, ки аз ҷониби гурӯҳҳои гуногуни ҳамлагарон анҷом дода мешуданд, насб карда шуданд. Дарвозаи пуштибонии Ebury ҳадди аққал ба чор сервер дар инфрасохтори kernel.org таъсир расонд, ки дутои онҳо тақрибан ду сол пас ва дутои дигар дар давоми шаш моҳ осеб диданд.
Ҳамлагарон ба хэшҳои пароли 551 корбаре, ки дар /etc/shadow нигоҳ дошта мешаванд, дастрасӣ пайдо карданд, аз ҷумла ҳамаи нигоҳдорони ядро (ҳисобҳо барои дастрасӣ ба Git истифода мешуданд; пас аз ҳодиса паролҳо иваз карда шуданд ва модели дастрасӣ барои истифодаи имзоҳои рақамӣ аз нав дида баромада шуд. ). Барои 257 корбар, ҳамлагарон тавонистанд паролҳои равшани матниро муайян кунанд, эҳтимолан тавассути тахмин кардани паролҳо бо истифода аз хэшҳо ва боздоштани паролҳое, ки дар SSH аз ҷониби ҷузъи зараровар Ebury истифода мешаванд.
Компоненти зараровар Ebury ҳамчун китобхонаи муштарак паҳн карда шуд, ки пас аз насб кардани он функсияҳое, ки дар OpenSSH истифода мешуданд, барои барқарор кардани пайвасти дурдаст ба система бо ҳуқуқи решавӣ боздошта шуданд. Ҳамла ҳадаф надошт ва мисли ҳазорҳо ҳостҳои дигари зарардида, серверҳои kernel.org ҳамчун як қисми ботнет барои фиристодани спам, дуздидани маълумот барои паҳнкунӣ дар системаҳои дигар, масири интиқоли трафики веб ва анҷом додани дигар амалҳои зараровар истифода мешуданд.
Барои ворид шудан ба серверҳо, осебпазирии ноустувор дар нармафзори сервер истифода мешуданд, масалан, осебпазирӣ дар панелҳои хостингӣ ё паролҳои боздошташуда (тахмин меравад, ки серверҳои kernel.org дар натиҷаи вайрон кардани пароли яке аз корбароне, ки рахна карда шудаанд, рахна шудаанд) дастрасии ниҳонӣ). Осебиятҳо ба монанди Dirty COW барои афзоиш додани имтиёзҳо истифода мешуданд.
Версияҳои нави Ebury, ки дар солҳои охир истифода шудаанд, ба ғайр аз пушти дарвоза, чунин хусусиятҳоро дар бар мегиранд, ба монанди модулҳои Apache httpd барои прокси-трафик, масир кардани корбарон ва боздоштани маълумоти махфӣ, модули ядро барои ворид кардани тағирот ба трафики трафики HTTP, асбобҳо барои пинҳон кардани худ. трафик аз брандмауэрҳо, скриптҳо барои анҷом додани ҳамлаҳои AitM (Dversary-in-the-Middle, MiTM дуҷониба) барои боздоштани маълумотҳои SSH дар шабакаҳои провайдери хостинг.
Манбаъ: opennet.ru
