Passer au contenu

Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans

Le botnet Ebury fait toujours des ravages. D’après une enquête d’ESET, le malware, identifié il y a plus de quinze ans, a compromis une montagne de serveurs Linux.

Souvenez-vous : en 2014, les chercheurs en cybersécurité d’ESET ont découvert un redoutable botnet visant les serveurs Linux. Pour compromettre les serveurs, les cybercriminels derrière l’opération, évoquée sous le nom de Windigo, s’appuyaient sur le malware Ebury, une version malveillante du logiciel de connexion à distance OpenSSH.

Dix ans plus tard, le botnet Ebury, considéré comme « l’une des campagnes de malwares les plus avancées sur les serveurs », est toujours en activité, avertit ESET. Dans le cadre d’une conférence organisée à Bratislava (Slovaquie), Marc-Etienne Léveillé, chercheur chez ESET, a dévoilé les résultats d’une vaste enquête, longue d’une décennie. Les investigations ont été menées par ESET avec l’aide de la police nationale des Pays-Bas. Il y a trois ans, une division de la police néerlandaise a en effet découvert « des serveurs aux Pays-Bas soupçonnés d’être compromis avec le malware Ebury ».

À lire aussi : Comment un petit botnet a pu établir un nouveau record d’attaque en DDoS avec 26 millions de requêtes… par seconde

Plus de quinze ans d’activité

L’apparition d’Ebury remonte à plus d’une quinzaine d’années, indique la société slovaque. Les premières traces du virus ont été repérées en 2009. Depuis son entrée en scène, le malware a été installé secrètement sur des serveurs pour permettre aux attaquants d’accéder à ces systèmes sans être détectés par les mécanismes de sécurité. Comme l’explique ESET, Ebury est « une porte dérobée de OpenSSH », un logiciel utilisé pour accéder de manière sécurisée à des ordinateurs distants. En glissant une backdoor dans le logiciel, les pirates peuvent prendre le contrôle d’un serveur et l’ajouter à leur botnet. Le virus fonctionne aussi comme « un voleur de données d’authentification », comme des noms d’utilisateur et des mots de passe.

« Après qu’un système est compromis, un certain nombre de détails sont exfiltrés. En utilisant les mots de passe connus obtenus sur ce système, les informations d’identification sont réutilisées pour tenter de se connecter aux systèmes connexes », détaille ESET.

Aux origines de l’attaque, on trouve d’ailleurs le vol de données d’identification. L’opération repose en effet sur une fuite d’informations sensibles. C’est grâce à des données volées que les pirates ont pu obtenir les « privilèges d’administrateur » nécessaires à l’installation de la porte dérobée. Une fois les données volées, ils ont généralement lancé des attaques de bourrage d’informations d’identification, ou « credential stuffing » en anglais. Ce type d’attaques consiste à utiliser des listes d’identifiants (noms d’utilisateur et mots de passe) volés sur un service pour tenter de se connecter à d’autres services.

Près de 400 000 serveurs compromis

Grâce à cette porte dérobée, les pirates ont pu compromettre près de 400 000 serveurs tournant sous Linux, FreeBSD et OpenBSD. Plus de 100 000 des serveurs infectés étaient toujours entre les mains des hackers à la fin de l’année dernière. Au fil des ans, le nombre de serveurs compromis par Ebury a explosé à la hausse.

« Il y a un roulement constant de nouveaux serveurs qui sont compromis tandis que d’autres sont nettoyés ou mis hors service », souligne ESET.

D’après le chercheur québécois, les pirates ont souvent visé « l’infrastructure des hébergeurs web ». Ebury a été déployé sur « des serveurs mis à la location par ces fournisseurs ». De facto, les pirates ont pu prendre le contrôle de « milliers de serveurs à la fois ». Selon lui, il y a « des serveurs compromis avec Ebury dans presque tous les pays du monde ». 

Spam et vol de cryptomonnaies

Sans surprise, les attaquants ont monétisé les serveurs sous leur coupe. ESET a constaté que les pirates installaient des modules sur les machines infectées pour rediriger le trafic internet vers des sites spécifiques. Cette astuce permet d’augmenter artificiellement la fréquentation de certains sites ou d’afficher des publicités, générant des revenus publicitaires frauduleux.

Avec cette armée de serveurs compromis, les cybercriminels ont aussi orchestré de vastes campagnes de spams. Les serveurs ont été utilisés comme relais pour envoyer des quantités massives de courriels indésirables tout en cachant l’origine des envois. Il n’est pas rare que des cybercriminels, dont des spécialistes des ransomwares, se servent d’un botnet pour diffuser des mails malveillants à grande échelle. Récemment, des hackers armés de Lockbit Black ont d’ailleurs utilisé le botnet Phorpiex pour propager leur ransomware.

Par ailleurs, le botnet a permis de réaliser des vols de grande ampleur. Les chercheurs ont pu relier l’utilisation d’Ebury à des vols de cryptomonnaies. Si les serveurs compromis hébergent des portefeuilles crypto, les cybercriminels se servent des informations d’identification récupérées en amont pour s’emparer des actifs numériques. De plus, le botnet a été massivement exploité dans le vol de numéros de carte de crédit. Globalement, les pirates se sont appuyés sur le réseau constitué par Ebury pour réaliser des « gains financiers », résume ESET.

Un pirate a été arrêté

L’un des cybercriminels à l’origine de la cyberattaque a déjà été interpellé par les forces de l’ordre. En 2015, « l’un des auteurs a été arrêté à la frontière entre la Finlande et la Russie, puis extradé vers les États-Unis », explique Marc-Etienne Léveillé. Après deux ans à clamer son innocence, le ressortissant russe a finalement plaidé coupable.

Pour le moment, on ignore encore quel groupuscule est à l’origine d’Ebury. Interrogé par nos soins, Marc-Etienne Léveillé estime que le botnet est exploité par un seul groupe de cybercriminels. Contrairement à d’autres botnets, Ebury n’a vraisemblablement pas été mis à disposition aux pirates les plus offrants. C’est peut-être pourquoi le virus est resté relativement invisible pendant de longues années. Les investigations sont toujours en cours au sujet d’Ebury, que le chercheur qualifie de « menace sérieuse » pour la sécurité Linux.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : ESET


Florian Bayard