Imagínate descubrir que el sistema que administra gran parte de la infraestructura de Internet ha estado comprometido durante años, permitiendo a los atacantes acceder a datos sensibles y utilizar estos sistemas para actividades maliciosas. Esto no es un guion de película, sino el caso real del malware Ebury, que logró infiltrarse en los servidores que mantenían el kernel de Linux, afectando a miles de servidores a nivel global.
¿Qué es el malware Ebury?
Ebury es un backdoor en OpenSSH que permite a los atacantes obtener acceso de root a los servidores infectados sin necesidad de autenticación. Una vez dentro, los criminales pueden robar credenciales, enviar spam y realizar una variedad de actividades malintencionadas sin ser detectados. Este tipo de acceso no solo pone en peligro la seguridad de los datos alojados en estos servidores, sino también la de los usuarios que dependen de ellos para sus operaciones diarias en la web.
Propagación y evolución de Ebury
La manera en que Ebury se propaga es lo que realmente lo hace destacar. Inicialmente, utilizaba credenciales SSH comprometidas para infectar otros sistemas. Sin embargo, con el tiempo, los atacantes mejoraron sus técnicas, empleando métodos como el relleno de credenciales y la explotación de vulnerabilidades conocidas y de día cero en paneles de control de servidores web.
El malware demostró una capacidad notable para adaptarse y evolucionar, infectando desde universidades hasta grandes corporaciones y proveedores de servicios de Internet. En 2019, incluso logró comprometer la infraestructura de un importante registrador de dominios y proveedor de hosting en EE. UU., ampliando su alcance a miles de servidores físicos y virtuales.
Impacto del ataque de Ebury
Lo realmente alarmante de Ebury es su capacidad para permanecer oculto y mantener un control prolongado sobre los sistemas comprometidos. Los atacantes no solo obtuvieron acceso a archivos críticos como los de /etc/shadow, que contienen las contraseñas cifradas de los usuarios, sino que también lograron descifrar y obtener las contraseñas en texto plano de cientos de usuarios. Este nivel de acceso permitió a los atacantes realizar actividades maliciosas desde los servidores comprometidos, incluyendo el envío de spam y ataques a otros sistemas.
Medidas de mitigación y prevención
Proteger los servidores SSH con autenticación multifactor (MFA) es crucial para evitar este tipo de compromisos. Aunque la MFA no es una configuración predeterminada en muchas distribuciones de Linux, su implementación puede impedir que los compromisos de contraseñas resulten en un control total del servidor por parte de atacantes.
Por supuesto, también es esencial mantener los sistemas actualizados y aplicar parches de seguridad regularmente para proteger contra la explotación de vulnerabilidades conocidas. La segmentación de redes y la monitorización constante también son prácticas recomendadas para detectar y contener rápidamente cualquier actividad sospechosa.
El caso de Ebury no deja de sorprenderme. He vuelto ha comentarlo aquí porque leí ayer este gran artículo sobre el tema , donde también se subraya la importancia de una vigilancia continua y de la implementación de prácticas de seguridad robustas, incluso en entornos que son gestionados por individuos y organizaciones con un alto grado de conocimiento técnico.
La seguridad en línea es un campo de batalla constante y evolutivo, uno de esos que generan un estrés constante, porque los hackers siempre están actualizados, muy actualizados.