Comment Ebury, le cheval de Troie Linux furtif, a réussi à se faufiler pendant 15 ans sans être détecté ?

Découvrez le mystère d’Ebury, le cheval de Troie Linux insaisissable qui a su se dissimuler pendant 15 ans sans être repéré. Une histoire fascinante qui met en lumière les failles de sécurité et les défis auxquels font face les administrateurs système.

La furtivité incroyable d’Ebury, le cheval de Troie Linux

Depuis plus de 15 ans, le cheval de Troie Ebury a réussi à se faufiler sans être détecté dans des centaines de milliers de serveurs Linux. Cette histoire incroyable met en évidence les capacités redoutables des cybercriminels à contourner les dispositifs de sécurité.

Une infiltration discrète grâce à OpenSSH

Ebury utilise une technique d’infiltration via OpenSSH, un protocole permettant la connexion à distance à un serveur. Une fois installé sur un serveur, Ebury ouvre une porte dérobée, offrant ainsi aux pirates un accès permanent et discret à la machine.

Le pire dans cette histoire, c’est que le cheval de Troie efface toutes ses traces et se fait passer pour un processus légitime, lui permettant ainsi de passer inaperçu. Cette furtivité lui a permis de se propager rapidement et de contaminer un grand nombre de serveurs.

Le chiffrement des mots de passe n’a pas suffi

En plus de compromettre les serveurs, Ebury a également réussi à récupérer les mots de passe chiffrés de plus de 500 utilisateurs. Bien que ces mots de passe étaient chiffrés, les pirates ont réussi à les décrypter et à accéder à la moitié des comptes associés.

Les experts en sécurité d’Eset, une entreprise spécialisée dans la sécurité informatique, ont découvert que Ebury était actif depuis 2009, ciblant à l’origine les serveurs de kernel.org, une référence en matière de développement du noyau Linux. Au fil des années, il s’est propagé à travers des fournisseurs d’accès internet et des hébergeurs web, formant ainsi un botnet géant de plus de 400 000 machines infectées.

Pourquoi cette attaque est-elle passée inaperçue pendant si longtemps ?

Une question se pose : pourquoi personne n’a-t-il détecté cette attaque pendant toutes ces années ? En réalité, en 2011 déjà, des experts avaient signalé une activité suspecte, mais aucune action n’a été prise. Le silence entourant cette affaire témoigne de l’ampleur du problème et de l’incapacité à le combattre efficacement.

Les méthodes utilisées par Ebury pour se propager

Outre son infiltration via OpenSSH, Ebury utilise différentes méthodes pour se propager et continuer à contaminer de nouvelles victimes. Il exploite notamment des failles 0-day dans des outils d’administration, pratique le phishing, effectue des attaques par dictionnaire sur SSH et vole les identifiants d’autres cybercriminels.

Grâce à ce large éventail de techniques, les pirates peuvent miner des cryptomonnaies, voler des données bancaires, envoyer du spam et rediriger du trafic web pour générer des profits. Leurs actions sont donc multiples et pernicieuses.

Comment se protéger contre Ebury et des attaques similaires ?

Face à cette menace persistante, il est essentiel de mettre en place des mesures de sécurité adéquates pour se prémunir contre Ebury et d’autres attaques similaires.

Voici quelques recommandations :

• Utiliser l’authentification multi-facteurs plutôt qu’un mot de passe unique pour l’accès à distance aux serveurs.
• Surveiller régulièrement les logs et les connexions suspectes.
• Mettre à jour les serveurs avec les derniers patchs de sécurité.

Il est important de rester vigilant et de ne pas baisser la garde, même face à des attaques furtives qui passent inaperçues pendant de longues périodes de temps.

En conclusion, l’histoire d’Ebury illustre la capacité des cybercriminels à exploiter les failles de sécurité et à infiltrer discrètement des serveurs Linux. Il est crucial de prendre des mesures proactives pour se protéger et éviter d’être victime de ce type d’attaque.

Source: korben.info