Na vijftien jaar is het Ebury botnet nog altijd actief, met meer dan 400.000 geïnfecteerde Linux-servers. De groep blijft vaak onder de radar, schrijft securitybedrijf Eset.
Grote delen van het internet draaien op Linux-servers, en dat is ook criminelen niet ontgaan. De Ebury-bende baat al sinds 2009 een botnet uit specifiek voor dit soort servers. ‘Ze gebruiken OpenSSH voor de infectie, een van de meest populaire manieren om tussen thuiscomputers en de Linux-server te communiceren’, zegt Marc-Etienne M. Léveillé aan een groep journalisten op Eset World in Bratislava, Slovakije.
Eset onderzoekt de groep al jaren en maakte een eerste rapport tien jaar geleden. ‘Toen werd de malware gebruikt om een backdoor in een server te installeren, waarna de bende daar ook logins kon gaan stelen en meer. Ze gebruikten die servers om geld te verdienen, bijvoorbeeld door internetverkeer af te leiden,’ aldus Léveillé. Het Ebury-botnet heeft de voorbije jaren ook zijn activiteiten uitgebreid naar onder meer man-in-the-middle aanvallen en het stelen van kredietkaartgegevens en cryptoportefeuilles.
Heruitgevonden
Na het eerste rapport werd een nieuwe versie uitgebracht, die aan sneltempo werd verspreid. ‘Waar we toen een overzicht van het botnet hadden van zo’n 40.000 servers, zijn dat er nu meer dan 400.000,’ zegt Léveillé. Dat grote aantal werd aangevallen na het stelen van credentials, maar ook door binnen te breken bij hosting providers. Zo kan ineens een hele reeks servers worden geïnfecteerd, meestal zonder dat de klanten van de provider daar erg in hebben.
‘Ebury is heel goed in ongemerkt blijven’, zegt Léveillé. ‘Soms zit de malware een dozijn jaren op de servers, niet zelden bij grote organisaties.’ Wat doe je daar dan aan? Daar is het antwoord niet makkelijk, zegt Léveillé. Een van de oplossingen is bijvoorbeeld het gebruik van meerstapsverificatie, maar dat zit standaard niet in OpenSSH.
Fout opgemerkt of meer nieuws? Meld het hier