Per la serie “la gramigna non muore mai” torniamo oggi a parlare di Ebury, una famiglia di malware Linux di cui avevamo parlato per la prima volta più di 10 anni fa proprio qui su Mia Mamma Usa Linux, ed il motivo per cui lo facciamo è che nuovi studi pubblicati sempre dall’azienda che aveva scoperto l’infezione nel 2014, ossia ESET, hanno dimostrato come questa sia ancora in corso e più viva che mai.

Riavvolgendo il nastro tutto parte nel 2011, quando il server che ospitava il sito kernel.org – cruciale ancora oggi per lo sviluppo e la distribuzione del kernel Linux – fu compromesso da un attacco informatico. Utilizzando credenziali rubate, gli attaccanti installarono un malware sofisticato chiamato appunto “Ebury”, di fatto una backdoor SSH, che permetteva di mantenere l’accesso ai sistemi compromessi, intercettando le credenziali e manipolando il traffico di rete.

L’intrusione, si diceva, venne scoperta ad agosto 2011, portando alla temporanea chiusura di kernel.org ed all’analisi approfondita dei server, analisi i cui risultati non vennero mai resi pubblici, come indica questo approfondito articolo di ARSTechnica.

Nonostante la serietà dell’attacco però, non ci furono prove di alterazioni del codice sorgente del kernel Linux e dopo l’incidente, vennero implementate misure di sicurezza più rigide, come una migliore gestione delle chiavi SSH e un aumentato monitoring dei sistemi.

Il problema è che praticamente quindici anni dopo, nelle 47 pagine del documento pubblicato da ESET la situazione pare tutt’altro che risolta. Ad oggi pare che il malware OpenSSH abbia infettato più di 400.000 server, tutti con Linux tranne circa 400 server FreeBSD, una dozzina di server OpenBSD e SunOS e almeno un Mac.

Le parole di Marc-Etienne M. Léveillé, ricercatore tra gli autori del progetto commenta così i numeri:

While 400,000 is a massive number, it’s important to mention that this is the number of compromises over the course of almost 15 years. Not all of those machines were compromised at the same time. There is a constant churn of new servers being compromised while others are being cleaned up or decommissioned. The data at our disposal doesn’t indicate when the attackers lost access to the systems, so it’s difficult to know the size of the botnet at any specific point in time. However, each time we were able to measure the number of servers currently compromised with Ebury, whether that was 10 years ago or in the past few years, we ended up with more or less 40,000 IP addresses. In 2023, that number ballooned to 110,000, mostly due to the compromise of a large hosting provider, as described below.

While this might seem less than some of the massive malware campaigns targeting Windows, let’s remind ourselves that almost all compromised systems are servers, not end user devices. Servers help run the Internet by hosting web pages, acting as authoritative name servers, performing financial transactions, etc.

Sebbene 400.000 sia un numero enorme, è importante ricordare che questo è il numero delle compromissioni avvenute nel corso di quasi 15 anni. Non tutte queste macchine sono state compromesse nello stesso momento. C’è un flusso costante di nuovi server che vengono compromessi mentre altri vengono ripuliti o smantellati. I dati a nostra disposizione non indicano quando gli aggressori hanno perso l’accesso ai sistemi, quindi è difficile conoscere la dimensione della botnet in un momento specifico. Tuttavia, ogni volta che siamo riusciti a misurare il numero di server attualmente compromessi con Ebury, sia 10 anni fa che negli ultimi anni, ci siamo ritrovati con più o meno 40.000 indirizzi IP. Nel 2023, quel numero è salito a 110.000, principalmente a causa della compromissione di un grande provider di hosting, come descritto di seguito.
Anche se questo potrebbe sembrare inferiore rispetto ad alcune delle massicce campagne malware rivolte a Windows, ricordiamoci che quasi tutti i sistemi compromessi sono server, non dispositivi degli utenti finali. I server aiutano a gestire Internet ospitando pagine web, agendo come server dei nomi autorevoli, eseguendo transazioni finanziarie, ecc.

Quindi prima di ritenere questa infezione “una delle tante” vale la pena concentrarsi sull’ultima affermazione riportata da Léveillé: questa infezione riguarda server che tipicamente espongono servizi, non PC personale, pertanto se ce ne fosse il dubbio questi sono numeri molto importanti.

Ironico infine notare come la vicenda Ebury, a suo tempo, evidenziò la necessità di una maggiore attenzione alla sicurezza nei progetti open source, portando a un rafforzamento delle pratiche di protezione dei sistemi critici. Misurando tutto alla luce del recente problema XZ, si capisce come la strada per uno sviluppo open-source realmente sicuro sia davvero ancora lunghissima.