Lid van groep achter Linux-rootkit Ebury bekent schuld

In de Amerikaanse staat Minnesota heeft een 41-jarige Russische man bekend deelgenomen te hebben aan een groepering die verantwoordelijk was voor de verspreiding van de Ebury-rootkit. Deze was in staat om inloggegevens van slachtoffers te stelen.

In een mededeling schrijft het Amerikaanse ministerie van Justitie dat de man in 2015 is aangeklaagd en vervolgens in Finland is opgepakt. Door de verspreiding van de rootkit waren de Rus en zijn mededaders volgens het ministerie in staat om 'tienduizenden servers' te infecteren, waardoor zij in staat waren een groot botnet op te bouwen. Dit gebruikten zij vervolgens om spam te versturen en click fraud te bedrijven, waarmee zij meerdere miljoenen dollars winst zouden hebben gemaakt.

De bijdrage van de 41-jarige man is volgens zijn bekentenis in de vorm van een plea agreement dat hij accounts aanmaakte bij domeinregistrars, waarmee hij een bijdrage leverde aan de infrastructuur van het Ebury-botnet. Ook zou hij zelf geprofiteerd hebben van de opbrengsten die het gegenereerde verkeer met zich meebracht.

De activiteit van Ebury begon in 2013. Destijds stelde het Duitse overheids-cert een onderzoek in naar de activiteit van de malware, waarna bleek dat systemen in meer dan zestig landen waren geïnfecteerd. Daarvan bevond zich ongeveer dertig procent in de VS en nog eens tien procent in Duitsland. Ebury richtte zich op Unix-achtige en Linux-systemen, waarbij het ssh-binaries of gedeelde ssh-bibliotheken werden aangepast. Daarmee kon de malware ssh-gegevens stelen en via dns naar servers van de criminelen sturen.

Volgens onderzoek van ESET maakte Ebury onderdeel uit van de zogenaamde Windigo-campagne, waarbij verschillende tools werden ingezet om Linux- en Unix-hosts te infecteren. Doordat er vaak sites op deze hosts aanwezig zijn, schatte ESET de schadelijke gevolgen van de campagne groot in. Onder de getroffen sites waren bijvoorbeeld cPanel en kernel.org.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 29-03-2017 10:38 37

29-03-2017 • 10:38

37

Lees meer

Arch Linux verwijdert kwaadaardige overgenomen packages uit gebruikersrepository
Arch Linux verwijdert kwaadaardige overgenomen packages uit gebruikersrepository Nieuws van 11 juli 2018
Nederlandse ontwikkelaar schrijft 'rootkit' in de vorm van php-module
Nederlandse ontwikkelaar schrijft 'rootkit' in de vorm van php-module Nieuws van 16 juni 2017
Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen
Onderzoekers vinden rootkit-achtige software op 2,8 miljoen Android-toestellen Nieuws van 18 november 2016
Lenovo haalt rootkit weg uit bios meerdere laptopmodellen
Lenovo haalt rootkit weg uit bios meerdere laptopmodellen Nieuws van 12 augustus 2015
Architectuurfout in oudere x86-cpu's Intel maakt rootkit mogelijk - update
Architectuurfout in oudere x86-cpu's Intel maakt rootkit mogelijk - update Nieuws van 6 augustus 2015
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Security Verenigde staten

Reacties (37)

-Moderatie-faq
37
34
16
3
0
11
Wijzig sortering
Tribits 29 maart 2017 10:56
Op zich een goede zaak dat cyber criminaliteit internationaal aan wordt gepakt, maar als je dan leest dat een Rus in de VS veroordeeld wordt op basis van een plea bargain heb ik daar wel mijn bedenkingen bij. Makkelijk voor de Russische regering ook om te claimen dat het hier om een afgedwongen bekentenis gaat en de man geen eerlijke rechtszaak heeft gehad.
SkiFan @Tribits29 maart 2017 11:07
Dat is niet zo, een plea bargain bespaart juist een schuldige verdachte een hoop rompslomp en een zwaardere veroordeling. Plea bargaining is een beetje quid pro quo, al kan het voor onschuldige verdachten een duivels dilemma zijn.
The Zep Man
@SkiFan29 maart 2017 11:10
Dat is niet zo, een plea bargain bespaart juist een schuldige verdachte een hoop rompslomp en een zwaardere veroordeling. Plea bargaining is een beetje quid pro quo, al kan het voor onschuldige verdachten een duivels dilemma zijn.
Dus het is wel zo. Een eerlijk proces wordt hierdoor in bepaalde situaties vermeden, ook omdat sommigen geen eerlijk proces kunnen betalen. Er kan dus gesproken worden van een mogelijk afgedwongen bekentenis bij keuzes die eigenlijk geen keuzes zijn.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:30]

deacs @The Zep Man29 maart 2017 11:59
... ook omdat sommigen geen eerlijk proces kunnen betalen
Enge zin is dit zeg, gelukkig is het niet waar.

Een eerlijk proces krijgen heeft niets te maken met hoeveel geld de verdachte heeft, dat zou ook wel erg oneerlijk zijn tegenover onschuldige verdachten die het financieel zwaar hebben. Het is natuurlijk wel zo dat de verdachte een minder goede advocaat in de arm kan nemen waardoor de kans bestaat dat zijn verdediging minder goed tot stand komt.

[Reactie gewijzigd door deacs op 22 juli 2024 21:30]

The Zep Man
@deacs29 maart 2017 12:46
[...]


Enge zin is dit zeg, gelukkig is het niet waar.
Want? Iedereen kan het zich veroorloven om een aantal dagen niet te werken om daarvoor in plaats met een rechtszaak bezig te zijn? Ik weet niet of je het werkklimaat in de VS kent, maar een baan voor lageropgeleiden kan je daarna vaarwel zeggen, want voor jou staan er tien anderen klaar.
Een eerlijk proces krijgen heeft niets te maken met hoeveel geld de verdachte heeft, dat zou ook wel erg oneerlijk zijn tegenover onschuldige verdachten die het financieel zwaar hebben. Het is natuurlijk wel zo dat de verdachte een minder goede advocaat in de arm kan nemen waardoor de kans bestaat dat zijn verdediging minder goed tot stand komt.
Dus een eerlijk proces heeft wel te maken met de hoeveelheid financiële middelen. Immers heeft degene met een betere advocaat een voordeel. Laat de entertainmentindustrie hier geen problemen mee hebben, maar de average Joe (onschuldig tot het tegendeel is bewezen) wel.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 21:30]

SacreBleu @The Zep Man29 maart 2017 17:16
Als je één dag niet kan missen komt een gevangenisstraf je wel goed uit?

Het werkklimaat mag in Amerika dan wel anders zijn, maar zodra je een strafblad hebt is het voor veel mensen einde verhaal. In Nederland hebben we mazzel met een VOG dan bepaald een Officier van Justitie aan de hand van criteria of je alsnog mag werken. In Amerika wordt je meteen vooroordeeld.

Je wil in Amerika écht niet naar de bak als het niet hoeft.
dehardstyler @deacs29 maart 2017 14:56
Dus als ik verdacht word van moord die ik niet heb gepleegd, een baan heb als orderpicker bij de Walmart, moet ik maar schuld bekennen aangezien ik het me niet kan veroorloven om mijn baan te verliezen? Je voelt hopelijk zelf ook aan dat dit complete onzin is. Beter even werkloos zijn dan 20+ jaar onschuldig de gevangenis in, toch?
Hij bedoeld dat dit gewoon een hele oneerlijke keuze is! Wat is dat nou voor keuze? Dus je bent onschuldig en dan ben je ineens werkloos? Terwijl je niks gedaan hebt!! Is dat volgens jou een eerlijk proces?
Leuk dat dat in je linkje zo staat, maar dat is wat mij betreft geen eerlijk proces!
Cerberus_tm @deacs29 maart 2017 17:48
Dat is dus helaas geen onzin, dat soort dingen gebeuren in Amerika. Daarom staat het ook laag in de lijst van landen qua qualiteit van het rechtssysteem. Als de aanklager zich in de zaak vastbijt, en jij geen normale advocaat kunt betalen, is de rechter behoorlijk passief daar, meer dan bij ons (en hier is hij al tamelijk passief). Een pro-deo-advocaat is daar vaak veel slechter dan hier en heeft ook nauwelijks tijd voor je zaak. Je loop dus best kans onschuldig veroordeeld te worden. Dit is vrij algemeen bekend daar.

En de aanklagers worden door de plea bargains gemotiveerd om verdachten onder druk te zetten met extreem hoge strafeisen. Als jij kans loopt om 80 jaar gevangenisstraf te krijgen, en je met een plea bargain met 4 jaar vrij komt, sta je voor een zware keuzen, ook als je onschuldig bent. Aanklagers zelf worden weer onder druk gezet door het systeem om zoveel mogelijk mensen plea bargains te laten tekenen, en zo houdt het gebeuren zichzelf in stand.
mbb @Cerberus_tm29 maart 2017 20:17
En dan hebben sommige pro-deo advocaten gemiddeld maar 7 minuten per aangeklaagde; als je dan ook noh aanklachten stapelt is het echt weinig.
https://www.themarshallpr...iminal-justice#.8CqZK0PoV
Cerberus_tm @mbb30 maart 2017 00:21
Precies, het is echt gewoon een beetje naar, die samenleving...
Tribits @SkiFan29 maart 2017 11:25
Ik ben op zich geen principieel tegenstander van plea bargaining, een verdachte die zijn fout erkent en meewerkt met justitie mag daarvoor best beloond worden. Bovendien kan je ook aannemen dat de kans op recidive bij een dergelijke verdachte lager is.

Op dit moment is het systeem in de VS echter compleet doorgeschoten. Verdachten wordt gedreigd met onrealistische absurd hoge straffen om een schikking af te dwingen en het overgrote deel van de veroordelingen komt stand via plea bargaining. Daarmee ontstaat er ernstige twijfel over de kwaliteit van het rechtssysteem.
SkiFan @Tribits29 maart 2017 11:51
Dat bedoelde ik dan ook met het duivelse dilemma. Overigens, met de hoogte van de straffen valt het in de PRAKTIJK nogal mee, veelal worden meerdere straffen opgelegd, en kunnen deze tegelijktijdig worden uitgezeten.

Feit is wel dat er geen land ter wereld is waar procentueel zo veel mensen in het cachot zitten.
aval0ne @Tribits29 maart 2017 11:08
Ja in Rusland had hij tenminste een eerlijk process gekregen |:(
janbaarda @aval0ne29 maart 2017 13:19
Ach, dit is te makkelijk. De grote politieke showprocessen uit de tijd van Stalin zijn niet meer. Voor niet-politieke zaken bestaat, zelfs in Rusland, een redelijk functionerend rechtssysteem. Het is niet nodig om voor simpel misbruik een schijnproces op te zetten.
Tribits @aval0ne29 maart 2017 12:02
Irrelevant. Dat hij in Rusland waarschijnlijk een schijnproces had gekregen is geen excuus voor de Amerikanen om het niet zo nauw te nemen met de rechten van een verdachte.
Tribits @aval0ne29 maart 2017 15:45
Inderdaad, speculatie die ze hadden kunnen voorkomen door gewoon een rechter uitspraak te laten doen in plaats van de verdachte onder druk te zetten en dan met een bekentenis naar de rechter te gaan. En onder druk gezet wordt je zeker met de dreiging van absurde straffen en het aanbod van een milde schikking. Dat is inmiddels wel voldoende bewezen.
Tribits @aval0ne29 maart 2017 18:43
Verdiep je liever eerst even in recente artikelen over plea bargaining onder andere op deze website voordat je dergelijke ongefundeerde beschuldigingen uit.
aval0ne @Tribits30 maart 2017 09:59
Ik beschuldig niet. Jij komt met beweringen die je niet kan hard maken. Jij bent de enige die ongefundeerde uitspraken doet. Bewijs jij maar eens dat hij onder druk gezet is geweest of stop met onzin te praten.
Tribits @aval0ne30 maart 2017 16:22
Plea bargaining is een schending van de universele rechten van de mens artikel 11 en 12 juist omdat een onafhankelijke uitspraak ontbreekt. Doordat de plea bargain in achterkamertjes tot stand komt weet niemand wat daar gebeurd is. Feit is wel dat er regelmatig misbruik van gemaakt is. Dat jij het standpunt inneemt dat ik er van uit moet gaan dat daar in dit geval geen sprake van is tot het tegendeel bewezen is gaat tegen alle principes van de rechtspraak in.
aval0ne @Tribits30 maart 2017 21:57
Het principe van de rechtspraak is onschuldig tot het tegendeel bewezen is. Dus er is geen sprake van onder druk zetten tot het tegendeel bewezen is. En dat kan je niet.
jabwd 29 maart 2017 10:57
Remember kids, use a keypair when using SSH.
Olaf van der Spek @jabwd29 maart 2017 11:17
Als SSH binaries zijn aangepast gaat een keypair je ook niet veel helpen lijkt mij.
wpoely86 @Olaf van der Spek29 maart 2017 11:57
De malware wil user credentials stelen door sshd over te nemen. Als je een keypair gebruikt, kan hij enkel de private key stelen. En als je 1 keypair gebruikt per remote host, kan kunnen ze hiermee niet zo veel uitsteken.
deacs @wpoely8629 maart 2017 12:32
Ter verduidelijking: de private key van de keypair wordt aan de kant van de client opgeslagen (en moet geheim blijven, anders kan er namens die client worden ingelogd) terwijl de public key op de server wordt opgeslagen (~/.ssh/authorized_keys).

Maar inderdaad, het gaat om het stelen van de SSH credentials, met een keypair gaat dit niet tenzij de aanvaller ook toegang heeft tot de private key.

[Reactie gewijzigd door deacs op 22 juli 2024 21:30]

Thc_Nbl @wpoely8629 maart 2017 13:50
Mooi, dan moet in mijn geval, de aanvaller wel in Nederland zitten, anders kan je überhaupt niet bij ssh.
En waarom een landen blokkade, op deze manier moet de aanvaller vanuit Nederland komen, en vallen ze onder Nederlands recht en zitten bij nederlandse hosters.
Opvallend is dat er vanuit het Bergman netwerk en OVH netwerk aanvallen komen en verder bijna niet.
Deze netwerken mogen dus niet meer met zijn machines communiceren behalve email, die weiger ik netjes met een mail melding waarom.

En het resultaat is dat die klanten/partijen weg gaan bij deze providers.
Dat komt er van als ze niet reageren op abuse meldingen.

Hosting partijen die dus te weinig doen aan hackers op hun netwerk, blokkeren we gewoon.

[Reactie gewijzigd door Thc_Nbl op 22 juli 2024 21:30]

Verwijderd @Thc_Nbl29 maart 2017 15:55
Jammer dat er niks aan te doen is.... want iemand met verstand komt niet in jouw logje, ook niet bij sailfish of beter nog whonix..en nee de overheid zul je daar ook niet aantreffen..die zijn al spook voordat ze je isp, router langs vliegen helaas..Ja je kunt je burnerlaptop en mobiel elke dag in zee gooien ipv 1x per week :Y) O-)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:30]

henk717 @jabwd29 maart 2017 11:05
Geen key pair in mijn geval, wel two factor als de login gegevens doorgestuurd worden zou ik in theorie naar mijn weten dus veilig moeten zijn en ontvang ik direct het ip-adres waarmee de aanvaller verbind naar mijn server (Waarschijnlijk een gateway, vpn of proxy). Indien dit een onjuiste aannamen is hoor ik het graag want dan kan ik mijn implementatie aanpassen.
jabwd @henk71729 maart 2017 12:43
Nja, alle 2 van mijn FreeBSD servers worden hele dag gebruteforced op root@, staat natuurlijk uit maar het blijft opvallend dat zodra je een nieuwe VPS aanmaakt hij eigenlijk bijna gelijk al gebruteforced wordt.

Handige website om te gebruiken trouwens:
https://haveibeenpwned.com/

2 factor is natuurlijk een extreem goede tool en practice, maar deze site geeft je nog wat insight.
henk717 @jabwd29 maart 2017 12:57
root staat voor SSH volledig dicht, ook al kraken zij het wachtwoord zal deze altijd wachtwoord onjuist door geven. Tevens is er een kleine security trough obscurity door een nonstandard port. Het zal een aanvaller niet tegenhouden om de SSH poort te vinden op het systeem dit blijkt echter wel erg effectief tegen al deze bots.. Voor de aanvaller zelf blijft dan natuurlijk een sterk wachtwoord met two factor over.

Toen ik nog gebruik maakte van de Google Authenticator was een leuke om de two factor zeer hoog in de configuratie te plaatsen. Hierdoor werd eerst om de two factor authentication gevraagd en daarna pas om het wachtwoord. Dit maakte direct alle bruteforce pogingen onmogelijk gezien een bot nooit beide codes tegelijk zal raden. Helaas ondersteunt de huidige two factor oplossing dit niet.
WhatsappHack
@jabwd29 maart 2017 18:50
Libkeyutils verspreidde zich o.a. via SSH naar SSH verbindingen. Daarom was het bij cPanel zo lucratief, omdat het support systeem de techs toegang gaf tot servers van klanten als zij daar toestemming voor gaven en de benodigde stappen ondernamen.

Als support dan verbinding maakte met die server via hun eigen geinfecteerde machines, werd die server van de klant ook meteen geïnfecteerd. Succes met je ssh-keys.

Interessante discussies bij een onderzoek door Steven Ciaburri van Rack911:
http://www.webhostingtalk.com/showthread.php?t=1235797

Belangrijke opmerking in deze context:
The key is finding out how they are getting in. Fully upgraded, ssh key restricted sshd, on non-standard ports are being compromised.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 21:30]

jabwd @WhatsappHack29 maart 2017 22:34
Interesting. Thanks voor de info. Nog meer reden om troeppanel als de pest te vermijden al is dit natuurlijk niet specifiek tegen cpanel een issue zoals je zegt maar gewoon een advantage.
WhatsappHack
@jabwd29 maart 2017 23:09
Klopt, cPanel was gewoon een van de slachtoffers. Ze hebben wel maatregelen genomen met het key-distributie systeem en de server instances om dit soort problemen in de toekomst te voorkomen.

Weinig mis met cPanel trouwens hoor, voor waar de software dient is het bij uitstek geschikt. :)
Verwijderd 29 maart 2017 16:50
Bestaat nog maar sinds 2011: https://plog.sesse.net/bl...ury_a_new_ssh_trojan.html
et36s 29 maart 2017 17:05
Ze hebben nu dus degene gepakt die waarschijnlijk 0,0 verstand heeft gehad wat hij nu eigenlijk aan het doen was. Dus de 'echte' daders lopen nog vrij rond. Nou geweldig... niet dat ik hem vrij wil spreken maar goed... als ik het bericht zo lees is hij absoluut niet het brein achter deze tools.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq