מחלקת המחקר של חברת אבטחת המידע ESET מפרסמת מחקר על אחד מקמפייני נוזקות השרתים המתקדמים ביותר, שהצליח לפרוץ מאות אלפי שרתים במהלך 15 שנות הפעילות שלו. בין הפעולות הידועות לשמצה של קבוצת Ebury ורשת הבוטנט ניתן למנות הפצת דואר זבל, ניתוב מחדש של תעבורת רשת וגניבת סיסמאות. במהלך השנים האחרונות הקבוצה שינתה את ייעודה לגניבת כרטיסי אשראי ומטבעות דיגיטליים. בנוסף, נוזקות של Ebury הוטמעו כדלתות אחוריות לפריצה של כמעט 400,000 שרתי לינוקס, FreeBSD ו-OpenBSD, וביותר מ-100,000 שרתים, הפרצה עדיין הייתה קיימת במהלך סוף שנת 2023. במקרים רבים, מפעילי Ebury הצליחו לקבל גישה מלאה לשרתים גדולים של ספקי אינטרנט וספקי שירותי אחסון ידועים.
לפני עשר שנים, ESET שחררה מאמר על מבצע Windigo, בו נעשה שימוש במספר נוזקות ממשפחות שונות שפעלו במקביל, כשנוזקות ממשפחת Ebury היו בליבת הקמפיין. בסוף שנת 2021, יחידת הפשע הטכנולוגי הלאומית ההולנדית (Dutch National High Tech Crime Unit – NHTCU), שמהווה חלק מהמשטרה הלאומית של הולנד, פנתה ל-ESET בנוגע לשרתים בהולנד שלגביהם התעורר חשד לפריצה ע״י נוזקות Ebury. חשדות אלו התבררו כאמיתיים, והודות לסיוע ה-NHTCU, גוף המחקר של ESET זכה לשקיפות משמעותית לפעולות שבוצעו ע״י הגורמים מאחורי Ebury.
״לאחר ההוצאה לאור של המאמר על Windigo בתחילת 2014, אחד מהתוקפים נעצר בגבול בין פינלנד ורוסיה בשנת 2015, ולאחר מכן הוסגר לארה״ב. בהתחלה הוא אמנם הצהיר שהוא חף מפשע, אך לבסוף הודה בהאשמות בשנת 2017, מספר שבועות לפני ההתחלה המתוכננת של המשפט שלו בבית המשפט המחוזי של מיניאפוליס, בו חוקרי ESET היו מתוכננים להעיד״, אומר מארק אטיין, חוקר ESET שחקר את פעולות Ebury במשך יותר מעשור.
Ebury, שפעילה לפחות משנת 2009, היא דלת אחורית בפרוטוקול OpenSSH ונוזקה לגניבת סיסמאות. היא משמשת להדבקה בנוזקות נוספת כדי ליצור רווח מרשת הבוטנט (למשל, באמצעות מודולים לניתוב תעבורת רשת), תעבורת פרוקסי או הפצת דואר זבל, ביצוע מתקפות ״גורם זדוני בתווך״ (Adversary in the Middle – AitM), ואחסון תשתיות לפעולות זדוניות. מבחינת מתקפות מסוג ״גורם זדוני בתווך״, ESET זיהתה מעל 200 מטרות ביותר מ-75 רשתות ו-34 מדינות שונות בתקופה שבין פברואר 2022 ומאי 2023.
מפעילי רשת הבוטנט Ebury השתמשו בה לגניבת ארנקי מטבעות דיגיטליים, סיסמאות ופרטים של כרטיסי אשראי. ESET חשפה משפחות נוזקות חדשות שנוצרו והופצו ע״י הקבוצה למטרות רווח כספי, בהן ישנם מודולים לשרתי Apache ומודולי Kernel לניתוב מחדש של תעבורת רשת. מפעילי Ebury השתמשו גם בפרצות zero-days בתוכנות ניהול כדי לפרוץ לשרתים באופן סדרתי.
לאחר פריצה למערכת, מודלפים לתוקפים מספר פרטים. באמצעות הסיסמאות והמפתחות שהושגו מאותה המערכת, פרטי הגישה האלה משמשים לניסיונות התחברות למערכות קשורות. כל גרסה גדולה חדשה של Ebury כוללת מספר שינויים משמעותיים, יחד עם אפשרויות חדשות וטכניקות הסוואה חדשות.
״תעדנו מקרים בהם התשתית של ספקי האחסון נפרצה ע״י Ebury. במקרים האלה, זיהינו הדבקה ב-Ebury בשרתים שהושכרו ע״י הספקים האלה, ללא מתן התראה לשוכרים. זה הוביל למקרים בהם מפעילי Ebury הצליחו לפרוץ לאלפי שרתים שונים בבת אחת״, אומר לבייה. ל-Ebury אין גבול גיאוגרפי כלשהו – ישנם שרתים שהודבקו בנוזקות Ebury כמעט בכל מדינה בעולם. בכל מקרה בו ספק שירותי אחסון נפרץ, זה הוביל לפריצה של כמות גדולה של שרתים אחרים באותה חוות שרתים.
לא נראה כי ישנם תחומי תעשייה שמותקפים יותר מאחרים. בין הקורבנות ניתן למנות אוניברסיטאות, עסקים קטנים וגדולים, ספקי שירותי אינטרנט, סוחרים במטבעות דיגיטליים, תחנות יציאה ברשת Tor, ספקי שירותי אחסון משותפים ורבים אחרים.
בסוף שנת 2019, התשתית של רשם דומיינים וספק שירותי אחסון גדול וידוע מארה״ב נפרצה. בסך הכל, התוקפים הצליחו לפרוץ ל-2,500 שרתים פיזיים ו-60,000 שרתים וירטואליים. חלק גדול מהשרתים האלה, אם לא כולם, משרתים כמה משתמשים לאחסון אתרי האינטרנט של יותר מ-1.5 מיליון חשבונות. בתקרית אחרת, 70,000 שרתים של אותו ספק שירותי האחסון נפרצו ע״י Ebury בשנת 2023. האתר Kernel.org, שמאחסן את קוד המקור של ה-Kernel של לינוקס, הותקף גם הוא ע״י Ebury.
״נוזקת Ebury מהווה איום ואתגר משמעותיים לקהילת האבטחה ללינוקס. אין תיקון פשוט שיסכל את Ebury, אך ישנם צעדים מונעים רבים שניתן להחיל כדי לצמצם את ההתפשטות והפגיעה שלה. חשוב לציין שהידבקות ב-Ebury לא מתרחשת רק אצל ארגונים או אנשים שמשקיעים פחות באבטחה. ניתן למצוא גם אנשים עם זיקה טכנולוגית וארגונים גדולים ברשימת הקורבנות״, מסכם לבייה.