Проект ядра Linux столкнулся с вирусом в течение двух лет до его обнаружения
В 2014 году ESET заявила, что на системы kernel.org был установлен второй вредоносный код, Ebury – хакерская дыра OpenSSH и воровалка учетных данных, вероятно, также была установлена во время взлома kernel.org.
“Данные, которыми мы теперь располагаем, раскрывают дополнительные детали инцидента”, – написал во вторник исследователь ESET Марк-Этьен М. Левейль. “Ebury был установлен на как минимум четырех серверах, принадлежащих Linux Foundation, с 2009 по 2011 годы.
По его словам, “картографируя связи между пользователями и серверами, используемыми на компрометированных атакующими серверах, мы обнаружили дополнительные сервера, которые были скомпрометированы Ebury”, добавив: “Данные на этих дополнительных серверах указывают на то, что относительно обширная реинфекция устройства.”
Как сообщалось на iTWire, администраторам kernel.org понадобилось 17 дней, чтобы узнать о взломе их систем. Данные о взломе были раскрыты 31 августа 2011 года, но администраторы ничего не говорили о том, что им потребовалось так много времени, чтобы обнаружить проблему.
В 2014 году ESET описала Ebury как “общую библиотеку, которая, загруженная, меняет поведение клиента и сервера OpenSSH, встраивается в программы, использующие библиотеку curl, чтобы вытягивать HTTP-запросы, сделанные системой, и вмешивается в терминальные сессии, запущенные через SSH, чтобы скрыть себя”.
Ebury использовался для развертывания дополнительного вредоносного кода для монетизации ботнета, перенаправления трафика, проксирования трафика для спама, проведения атак посередине и обеспечения вредоносной инфраструктуры для этого. Его операторы использовали ботнет Ebury для кражи кошельков с криптовалютой, учетных данных и данных кредитных карт, написал Левейль.
ESET уже несколько лет отслеживает группировку Ebury и их вредоносное ПО, следуя за их новыми методами заражения серверов.
Оригинальная новость на сайте