olumsuz şöhretli Ebury kümesinin ve botnetinin yıllar boyunca gerçekleştirdiği faaliyetler ortasında spam yayma, web trafiğini ilkden yönlendirme ve kimlik bilgisi çalma yer alıyor. Son yıllarda kredi kartı ve kripto para hırsızlığına da yöneldi. Ebury, yaklaşık 400 bin Linux, FreeBSD ve OpenBSD sunucusunu tehlikeye atmak için bir art kapı olarak kullanıldı; 2023’ün yepyenilarında 100 binden fazlası hala tehlikedeydi.
ESET on yıl evvel, merkezinde Ebury ziyanlı am yoksullı yazılım ailesinin yer aldığı ve birden fazla yakışıksız am iştahlılı yazılım ailesinin bir ortada kullanıldığı Windigo Operasyonu hakkında bir teknik doküman yayımlamıştı. 2021 yılının ilklarında, Hollanda ulusal polisinin bir modülü olan Hollanda Ulusal Yüksek Teknoloji Cürüm Ünitesi (NHTCU), Ebury olumsuz emelli yazılımıyla ele geçirildiğinden şüphelenilen Hollanda’daki sunucularla ilgili olarak ESET’e ulaştı. Bu kuşkuların haklı olduğu ortaya çıktı ve NHTCU’nun yardımıyla ESET Araştırma, Ebury tehdit aktörleri tarafından yürütülen operasyonlar hakkında değerli ölçüde görünürlük kazandı.
Ebury’yi on yıldan uzun bir müddettir araştıran ESET araştırmacısı Marc-Etienne M. Léveillé; “Windigo makalesinin 2014 yılı başlarında yayımlanmasının akabinde, faillerden biri 2015 yılında Finlandiya-Rusya hududunda tutuklandı ve daha sonra ABD’ye iade edildi. Başlangıçta günahsız olduğunu argüman eden bu kişi, Minneapolis’teki ABD Bölge Mahkemesi’nde görülecek ve ESET araştırmacılarının tanıklık yapacağı duruşmadan birk açlıktan ölme hafta evvel, 2017 yılında suçlamaları kabul etti.” dedi.
Ebury botneti, kripto para cüzdanlarını, kimlik ve kredi kartı bilgilerini çalmak için kullanıldı
En az 2009’dan beri faal olan Ebury, bir OpenSSH art kapısı ve kimlik bilgisi hırsızı. Ek nahoş am toksuzlı yazılımları dağıtmak için kullanılır: Botnetten para kazanmak (web trafiği sonden yönlendirme modülleri gibi), spam için proxy trafiği, ortadaki düşman hücumları (AitM) gerçekleştirmek ve destekleyici yetersiz amfakirlı altyapıyı barındırmak. ESET, AitM ataklarında Şubat 2022 ile Mayıs 2023 ortasında 34 farklı ülkede 75’ten fazla ağda 200’ün üzerinde amaç gözlemledi. Operatörleri Ebury botnetini, kripto para cüzdanlarını, kimlik ve kredi kartı bilgilerini çalmak için kullandı. ESET, Apache modülleri ve web trafiğini tazeden yönlendirmek için bir çekirdek modülü de zekil olmak üzere, çete tarafından finansal çıkar için yazılan ve dağıtılan yeni âlâ değilcül am açlıktan ölmelı yazılım ailelerini ortaya çıkardı. Ebury operatörleri ayrıyeten sunucuları toplu olarak tehlikeye atmak için yönetici yazılımındaki sıfır gün güvenlik açıklarını kullandı.
Bir sistem ele geçirildikten ilkra bir dizi detay dışarı sızar. Bu sistemde elde edilen parolalar ve anahtarlar kullanılarak kimlik bilgileri, ilgili sistemlere giriş yapmayı denemek için yepyeniden kullanılır. Ebury’nin her yeni ana sürümü kimi değerli değişiklikler ve çağdaş özellikler ve gizleme teknikleri sunar.
“Barındırma sağlayıcılarının altyapısının Ebury tarafından tehlikeye atıldığı olayları belgeledik. Bu hadiselerde, Ebury’nin bu sağlayıcılar tarafından kiralanan sunuculara, kiracılara hiçbir ihtar yapılmadan yerleştirildiğini gördük. Bu durum Ebury aktörlerinin birebir anda binlerce sunucuyu tehlikeye atabildiği hadiselerle yepyeniuçlandı,” diyor Léveillé. Ebury için coğrafik bir hudut yok; dünyanın neredeyse tüm ülkelerinde Ebury ile tehlikeye atılmış sunucular var. Bir barındırma sağlayıcısı tehlikeye girdiğinde tıpkı data merkezlerinde çok sayıda sunucunun tehlikeye girmesine yol acıkmıştı. Birebir vakitte, hiçbir dikey alan başkalarından daha fazla gaye alınmış görünmemektedir. Mağdurlar ortasında üniversiteler, iri ve küçük işletmeler, internet servis sağlayıcıları, kripto para tüccarları, Tor çıkış düğümleri, paylaşılan barındırma sağlayıcıları ve özel sunucu sağlayıcıları yer almaktadır.
2019’un ilklarında, ABD merkezli gigantik ve tanınan bir alan ismi kayıt şirketi ve web barındırma sağlayıcısının altyapısı tehlikeye girdi. Toplamda yaklaşık 2 bin 500 fizikî ve 60 bin sanal sunucu saldırganlar tarafından ele geçirildi. Bu sunucuların hepsi olmasa da çok muazzam bir kısmı, 1,5 milyondan fazla hesabın web sitelerini barındırmak için birden fazla kullanıcı ortasında paylaşılmaktadır. Bir öbür olayda, kelam konusu barındırma sağlayıcısına ilişkin toplam 70.000 sunucu 2023 yılında Ebury tarafından ele geçirilmiştir. Linux çekirdeğinin kaynak kodunu barındıran Kernel.org da Ebury’nin kurbanı olmuştu.
Léveillé “Ebury, Linux güvenlik topluluğu için önemli bir tehdit ve zahmet teşkil ediyor. Ebury’yi etkisiz hale getirecekkolay bir tahlil yok lakin yayılmasını ve tesirini en aza indirmek için bir dizi hafifletme uygulanabilir. Farkına varılması gereken nokta, bu durumun yalnızca güvenliği daha az önemseyen kuruluşların ya da bireylerin başına gelmediğidir. Çok sayıda teknoloji meraklısı birey ve gigantik kuruluş da kurbanlar listesinde yer alıyor,” diyerek kelamlarını tamamladı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
