Digitaal dreigingslandschap

ESET Research: het Ebury botnet, een serieuze dreiging voor Linux servers

6 minuten leestijd

door Michelle Dolk

ESET Research heeft een diepgaand onderzoek vrijgegeven naar een van de meest geavanceerde malwarecampagnes, gericht op servers, die nog steeds groeit. In dit artikel lees je meer over het geavanceerde Ebury botnet.

Wat is het Ebury botnet?

Het Ebury botnet is een netwerk van gecompromitteerde servers die geïnfecteerd zijn met de Ebury malware. Deze malware is door de jaren heen ingezet als een achterdeur om bijna 400.000 Linux-, FreeBSD- en OpenBSD-servers te compromitteren. Meer dan 100.000 servers waren eind 2023 nog steeds gecompromitteerd.

Ebury wordt ingezet om toegang te verkrijgen tot belangrijke informatie en functies van servers zonder dat de eigenaren dit weten. Denk hierbij aan het verspreiden van spam, het omleiden van internetverkeer of het stelen van het inloggegevens of zelfs digitale munten, zoals Bitcoin.

De kracht van Ebury ligt in zijn vermogen om zich diep in een server te nestelen en bijna onopgemerkt te blijven. Zodra een server is gecompromitteerd, kunnen de aanvallers op afstand controle houden en hun schadelijke activiteiten uitbreiden.

Operatie Windigo        

Tien jaar geleden publiceerde ESET een onderzoek over Operatie Windigo, waarbij meerdere malwarefamilies in combinatie werkten, met de Ebury-malwarefamilie als kern. Eind 2021 nam de National High Tech Crime Unit (NHTCU), onderdeel van de Nederlandse Politie, contact op met ESET over servers in Nederland die vermoedelijk besmet waren met de Ebury-malware. Deze vermoedens bleken gegrond en met de hulp van NHTCU heeft ESET Research aanzienlijke inzichten verkregen in de operaties uitgevoerd door de Ebury-aanvallers.

ESET Research

Recente onderzoeken door ESET tonen aan dat Ebury nu ook wordt gebruikt om direct geld te stelen, zoals creditcardgegevens en cryptocurrency. De aanvallers hebben het Ebury-botnet namelijk gebruikt om cryptocurrency-portemonnees, inloggegevens en creditcardgegevens te stelen. ESET heeft nieuwe malwarefamilies ontdekt die door de bende zijn gemaakt en deze worden ingezet voor financieel gewin.

"We hebben gedocumenteerde gevallen waarin de infrastructuur van hostingproviders is gecompromitteerd door Ebury. In deze gevallen hebben we gezien dat Ebury werd ingezet op servers die door die providers werden verhuurd, zonder waarschuwing aan de eigenaren. Dit resulteerde in gevallen waarin de Ebury-actoren duizenden servers tegelijk konden compromitteren," zegt Marc-Etienne M. Léveillé, de ESET-onderzoeker die meer dan een decennium Ebury heeft onderzocht. Ebury kent geen geografische grenzen; er zijn servers gecompromitteerd met Ebury in bijna alle landen in de wereld.

Tegelijkertijd lijkt het zich ook te richten op alle sectoren. Slachtoffers zijn onder andere universiteiten, kleine en grote ondernemingen, internetdienstaanbieders, cryptocurrency-handelaars, Tor-uitgangsknooppunten, shared hostingproviders en dedicated serverproviders, en dit is maar een kleine greep uit de slachtoffers.

Kun je jezelf en je organisatie beschermen tegen Ebury?

Ebury vormt een ernstige dreiging en een uitdaging voor de Linux-beveiligingsgemeenschap. Er is geen eenvoudige oplossing die Ebury ineffectief zou maken, maar er zijn een aantal maatregelen die kunnen worden toegepast om de verspreiding en impact ervan te minimaliseren.

Voor de serverbeheerdersgemeenschap, wordt aangeraden om de beveiliging van hun Linux-serveromgeving naar een hoger niveau te tillen, hier kunnen de volgende tips bij helpen:

1. Regelmatig updaten van software: Zorgen dat alle systemen en toepassingen up-to-date zijn om bekende kwetsbaarheden te dichten die door malware, zoals Ebury, kunnen worden uitgebuit.

2. Geavanceerde monitoring en detectie: Het instellen van systemen om verdachte activiteiten te detecteren, zoals ongebruikelijke netwerkverbindingen of onverwachte systeemwijzigingen die kunnen wijzen op een infectie.

3. Beperkte toegangscontroles: Toepassen van het ‘Principle of Least Privilege (PoLP)’, waarbij gebruikers alleen toegang hebben tot de informatie en bronnen die strikt noodzakelijk zijn voor hun werkzaamheden en niet beschikken over ‘admin’ rechten.

4. Regelmatige beveiligingstrainingen: Het opleiden van medewerkers over de risico's van bepaalde digitale dreigingen en technieken die gebruikt kunnen worden om bijvoorbeeld malware te verspreiden.

Om als ‘normale’ Linux-gebruiker jouw digitale leven te beveiligen, kan er rekening gehouden worden met de volgende tips:

1. Regelmatig updaten van software: Zorg ervoor dat je besturingssysteem, applicaties en alle gebruikte software up-to-date blijven. Veel aanvallen maken gebruik van kwetsbaarheden in verouderde software, dus door up-to-date te blijven, verklein je de kans op een succesvolle aanval.

2. Monitor je bank- en crypto-apps: Wees alert op ongebruikelijke activiteiten binnen je bank- en crypto-applicaties. Snelle actie kan noodzakelijk zijn als je ongeautoriseerde transacties of verdachte wijzigingen opmerkt. Stel indien mogelijk notificaties in voor alle transacties.

3. Gebruik van sterke authenticatie: Implementeren van sterke wachtwoordbeleidsregels en multifactorauthenticatie om ongeautoriseerde toegang te voorkomen.

4. Gebruik een banking/payment beveiligingsoplossing: Installeer een betrouwbare beveiligingsoplossing die specifiek bescherming biedt voor online bankieren en crypto-wallets. Deze software kan vaak verdachte activiteiten detecteren en blokkeren voordat ze schade kunnen veroorzaken.

Men moet zich realiseren dat het niet alleen gebeurt bij organisaties of individuen die minder om beveiliging geven. Veel zeer technisch onderlegde personen en grote organisaties staan op de lijst van slachtoffers. Deze "handful of mitigations" zijn bedoeld om de organisatie weerbaarder te maken tegen aanvallen door Ebury en vergelijkbare dreigingen, waarbij erkend wordt dat volledige immuniteit tegen dergelijke geavanceerde dreigingen moeilijk te bereiken is.

Lees het volledige onderzoek van ESET Research hier en volg ESET Research op X/Twitter om op de hoogte te blijven van nieuwe onderzoeken.