Μια εξελιγμένη εκστρατεία botnet με το όνομα FritzFrog ανακαλύφθηκε ότι παραβιάζει τους SSH servers σε όλο τον κόσμο, τουλάχιστον από τον Ιανουάριο του 2020.
Γραμμένο σε Golang, το FritzFrog είναι ένα worm και ένα botnet που στοχεύει στους τομείς της κυβέρνησης, της εκπαίδευσης και της χρηματοδότησης.
Η επίθεση έχει ήδη καταφέρει να διεισδύσει σε πάνω από 500 servers στις ΗΠΑ και την Ευρώπη, πανεπιστημίων και σιδηροδρομικών εταιρειών.
Η προηγμένη φύση του FritzFrog έγκειται στην ιδιόκτητη και ανώνυμη εφαρμογή του P2P που είναι γραμμένη από το μηδέν.
Χωρίς αρχεία, χωρίς servers αλλά και τόσο αποτελεσματικό
Το malware συγκεντρώνει και εκτελεί το κακόβουλο payload στη μνήμη, καθιστώντας την ασταθή.
Επιπλέον, η προσαρμοσμένη εφαρμογή P2P σημαίνει ότι δεν υπάρχει κανένας Command & Control server (C&C) που στέλνει οδηγίες στο FritzFrog.
Παρά τις επιθετικές τακτικές brute-force που χρησιμοποιεί το FritzFrog για να παραβιάσει τους SSH servers, είναι παράξενα αποτελεσματικό στοχεύοντας ένα δίκτυο ομοιόμορφα.
Η Guardicore Labs παρακολουθεί το FritzFrog τους τελευταίους μήνες χρησιμοποιώντας το δίκτυο honeypot.
“Ξεκινήσαμε να παρακολουθούμε τη δραστηριότητα της καμπάνιας, η οποία αυξήθηκε σταθερά και σημαντικά με την πάροδο του χρόνου, φτάνοντας συνολικά τις 13 χιλιάδες επιθέσεις στο Guardicore Global Sensors Network (GGSN). Από την πρώτη εμφάνισή του, εντοπίσαμε 20 διαφορετικές εκδόσεις του δυαδικού Fritzfrog”, δηλώνει η εταιρεία σε μια πρόσφατα δημοσιευμένη έκθεση που συντάχθηκε από τον ερευνητή ασφαλείας Ophir Harpaz.
Στην προσπάθειά τους να εντοπίσουν έναν κεντρικό σχεδιασμό C&C που τροφοδοτεί το botnet, η εταιρεία συνειδητοποίησε σύντομα ότι δεν υπήρχε κάτι τέτοιο.
Για να κατανοήσουμε καλύτερα το FritzFrog και τις δυνατότητές του, η Guardicore Labs σχεδίασε έναν interceptor γραμμένο σε Golang που ονομάζεται frogger, ο οποίος θα μπορούσε να συμμετάσχει στη διαδικασία ανταλλαγής κλειδιών κακόβουλου λογισμικού και να λαμβάνει και να στέλνει εντολές.
“Αυτό το πρόγραμμα, το οποίο ονομάσαμε frogger, μας επέτρεψε να διερευνήσουμε τη φύση και το εύρος του δικτύου. Χρησιμοποιώντας το frogger, καταφέραμε επίσης να ενταχθούμε στο δίκτυο” εισάγοντας “τους δικούς μας κόμβους και συμμετέχοντας στην τρέχουσα κυκλοφορία P2P”, δηλώνει η αναφορά.
Έτσι, η Guardicore Labs συνήγαγε ότι η εκστρατεία κακόβουλου λογισμικού είχε brute-forced πρόσβαση σε εκατομμύρια διευθύνσεις IP SSH που ανήκουν σε ιδρύματα όπως ιατρικά κέντρα, τράπεζες, εταιρείες τηλεπικοινωνιών, εκπαιδευτικούς και κυβερνητικούς οργανισμούς.
Όταν αναλύθηκε από τους ερευνητές του Guardicore Labs, το malware είναι μοναδικό δεδομένου του κατανεμημένου χαρακτήρα του. Ενώ άλλα botnets όπως το IRCflu έχουν χρησιμοποιήσει IRC ή όπως το DDG, έχουν λειτουργήσει χρησιμοποιώντας αρχεία, το FritzFrog δεν παρουσιάζει καμία από αυτές τις συμπεριφορές.
Η έκθεση αναγνωρίζει, ωστόσο, “Έχει κάποια ομοιότητα – ειδικά όσον αφορά την ονομασία λειτουργίας και τους αριθμούς έκδοσης – με το Rakos, ένα botnet P2P γραμμένο στο Golang και αναλύθηκε από την ESET το 2016.” Η Guardicore Labs έχει παράσχει ένα απλό script που μπορεί να χρησιμοποιηθεί για την ανίχνευση λοιμώξεων του FritzFrog. Τόσο το script όσο και μια λίστα των FritzFrog IoCs έχουν δημοσιευτεί στο GitHub.
“Το FritzFrog εκμεταλλεύεται το γεγονός ότι πολλές λύσεις ασφάλειας δικτύου επιβάλλουν την κυκλοφορία μόνο από τις θύρες και το πρωτόκολλο. Για να ξεπεραστεί αυτή η τεχνική μυστικότητας, οι κανόνες τμηματοποίησης που βασίζονται στη διαδικασία μπορούν εύκολα να αποτρέψουν τέτοιες απειλές“, καταλήγει η έκθεσή τους.
