Après quinze ans, le botnet Ebury fait encore et toujours parler de lui avec plus de 400.000 serveurs Linux infectés. Le groupe passe cependant souvent inaperçu, selon la firme de sécurité Eset.
De grandes parties d’internet tournent sur des serveurs Linux, et cela n’a pas échappé à l’attention des criminels. Le gang Ebury exploite en effet un botnet spécifiquement conçu pour ce type de serveur depuis 2009 déjà. ‘Pour l’infection, il utilise OpenSSH, l’un des moyens les plus populaires de communiquer entre les ordinateurs personnels et le serveur Linux’, déclare Marc-Etienne M. Léveillé à un groupe de journalistes lors d’Eset World à Bratislava, en Slovaquie.
Eset enquête sur le groupe depuis des années déjà et a établi son premier rapport il y a dix ans. ‘A l’époque, le logiciel malveillant était utilisé pour installer une porte dérobée dans un serveur, après quoi le gang pouvait y voler des identifiants et plus encore. Il recourait à ce serveur pour gagner de l’argent, par exemple en détournant le trafic internet’, explique M. Léveillé. Le botnet Ebury a également étendu ses activités ces dernières années pour inclure des attaques de type ‘man-in-the-middle’ et le vol de données de cartes de crédit et de portefeuilles cryptographiques.
Réinventé
Après ce premier rapport, une nouvelle version du logiciel malveillant a été lancée, qui a été distribuée à un rythme rapide. ‘Alors que nous avions à l’époque une vue d’ensemble du botnet de quelque 40.000 serveurs, il y en a maintenant plus de 400.000’, explique M. Léveillé. Ils ont tous été attaqués après le vol d’informations d’identification, mais aussi en s’introduisant par effraction chez des fournisseurs d’hébergement. C’est ainsi que toute une série de serveurs peuvent être soudainement infectés, généralement sans que les clients du fournisseur ne s’en aperçoivent.
‘Ebury est très doué pour passer inaperçu’, poursuit Léveillé. ‘Il peut arriver que le logiciel malveillant reste planqué sur des serveurs pendant une douzaine d’années, souvent dans de grandes organisations.’ Que faire dans ce cas? La réponse n’est pas facile, selon Léveillé. L’une des solutions consiste par exemple à utiliser la vérification multi-facteur, mais elle n’est pas incluse par défaut dans OpenSSH.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici