Ebury abre las puertas traseras de los servidores SSH de los proveedores de alojamiento, lo que da al malware un alcance extraordinario.
La infraestructura utilizada para mantener y distribuir el núcleo del sistema operativo Linux fue infectada durante dos años, a partir de 2009, por un sofisticado malware que logró hacerse con uno de los recursos más celosamente guardados por los desarrolladores: los archivos / etc / shadow que almacenaban los datos cifrados de las contraseñas de más de 550 usuarios del sistema, según informaron el martes los investigadores.
Según los investigadores de la empresa de seguridad ESET, los autores desconocidos del ataque infectaron al menos cuatro servidores de kernel.org, el dominio de Internet que sustenta la extensa red de desarrollo y distribución de Linux. Tras obtener los hashes criptográficos de 551 cuentas de usuario de la red, los atacantes lograron convertir la mitad en contraseñas en texto plano, probablemente mediante técnicas de descifrado de contraseñas y el uso de una función avanzada de robo de credenciales integrada en el malware. A partir de ahí, los atacantes utilizaron los servidores para enviar spam y llevar a cabo otras actividades nefastas. Los cuatro servidores fueron probablemente infectados y desinfectados en diferentes momentos, y los dos últimos fueron reparados en algún momento de 2011.
Robo de las llaves del reino de kernel.org
La infección de kernel.org salió a la luz en 2011, cuando los responsables del mantenimiento del kernel revelaron que 448 cuentas se habían visto comprometidas después de que los atacantes hubieran conseguido de alguna manera obtener acceso ilimitado, o "root", a los servidores conectados al dominio. Los responsables del mantenimiento incumplieron su promesa de realizar una autopsia del ataque, una decisión que ha limitado la comprensión pública del incidente.
Además de revelar el número de cuentas de usuario comprometidas, los representantes de la Linux Kernel Organization no dieron más detalles que la infección:
- Se produjo a más tardar el 12 de agosto de 2011 y no se detectó hasta 17 días después.
- Instaló un rootkit comercial conocido como Phalanx en múltiples servidores y dispositivos personales pertenecientes a un desarrollador senior de Linux
- Modificó los archivos que tanto los servidores como los dispositivos de usuario final dentro de la red utilizaban para conectarse a través de OpenSSH, una implementación del protocolo SSH para asegurar conexiones remotas.
En 2014, los investigadores de ESET afirmaron que el ataque de 2011 probablemente infectó los servidores de kernel.org con una segunda pieza de malware que denominaron Ebury. El malware, según la empresa, venía en forma de una biblioteca de código malicioso que, cuando se instalaba, creaba una puerta trasera en OpenSSH que proporcionaba a los atacantes una shell de raíz remota en los hosts infectados sin necesidad de una contraseña válida. En poco menos de 22 meses, a partir de agosto de 2011, Ebury se propagó a 25.000 servidores. Además de los cuatro pertenecientes a la Linux Kernel Organization, la infección también afectó a uno o más servidores dentro de instalaciones de alojamiento y a un registrador de dominios y proveedor de alojamiento web sin nombre.
Un informe de 47 páginas que resume los 15 años de historia de Ebury afirma que la infección que afecta a la red kernel.org comenzó en 2009, dos años antes de lo que se creía anteriormente. Según el informe, desde 2009, el malware que utiliza OpenSSH ha infectado a más de 400.000 servidores, todos con Linux excepto unos 400 servidores FreeBSD, una docena de servidores OpenBSD y SunOS, y al menos un Mac.
El investigador Marc-Etienne M. Léveillé escribió:
En nuestro artículo de 2014, mencionamos que había pruebas de que kernel.org, que aloja el código fuente del kernel de Linux, había sido víctima de Ebury. Los datos de que disponemos ahora revelan detalles adicionales sobre el incidente. Ebury había sido instalado en al menos cuatro servidores pertenecientes a la Fundación Linux entre 2009 y 2011. Parece que estos servidores actuaban como servidores de correo, servidores de nombres, réplicas y repositorios de código fuente en el momento del ataque. No podemos decir con seguridad cuándo se eliminó Ebury de cada uno de los servidores, pero dado que se descubrió en 2011 es probable que dos de los servidores estuvieran comprometidos hasta dos años, uno durante un año y el otro durante seis meses.
El autor también tenía copias de los archivos / etc /shadow, que en total contenían 551 pares únicos de nombres de usuario y contraseñas con hash. Las contraseñas en texto claro de 275 de esos usuarios (50%) están en posesión de los atacantes. Creemos que las contraseñas en texto claro se obtuvieron utilizando el ladrón de credenciales Ebury instalado y por fuerza bruta.
El investigador dijo en un correo electrónico que las infecciones de Ebury y Phalanx parecen ser compromisos separados por dos grupos de amenazas no relacionadas. Los representantes de la Linux Kernel Organization no respondieron a los correos electrónicos en los que se les preguntaba si conocían el informe de ESET o si sus afirmaciones eran exactas. No hay indicios de que ninguna de las dos infecciones haya alterado el código fuente del kernel de Linux.
Fuente: somoslibres