Το botnet FritzFrog που είναι ενεργό για περισσότερα από δύο χρόνια επανεμφανίστηκε με ένα ανησυχητικό ποσοστό μόλυνσης, που αυξήθηκε δέκα φορές μέσα σε μόλις ένα μήνα χτυπώντας συστήματα υγείας, εκπαιδεύσης και κυβερνήσεων με εκτεθειμένο SSH server.
Δείτε επίσης: Τα botnets Mirai εκμεταλλεύονται τη χαλαρή ασφάλεια του IoT
Το malware που αναλύφθηκε τον Αύγουστο του 2020 είναι γραμμένο σε Golang και θεωρείται μια εξελιγμένη απειλή που βασίζεται σε προσαρμοσμένο κώδικα, εκτελείται στη μνήμη και είναι decentralized — peer-to-peer (P2P), επομένως δεν χρειάζεται κεντρικό διακομιστή διαχείρισης.
Ερευνητές της εταιρείας Akamai εντόπισαν μια νέα έκδοση του malware FritzFrog, η οποία συνοδεύεται από ενδιαφέρουσες νέες λειτουργίες, όπως η χρήση του Tor proxy chain.
Το Europa Clipper της NASA οδεύει στον Δία
Τεράστιος δυνητικά επικίνδυνος αστεροειδής πλησιάζει τη Γη
Apple: Παρακολουθεί παράνομα τους εργαζομένους;
Επίσης, η νέα παραλλαγή δείχνει ότι οι χειριστές της ετοιμάζονται να προσθέσουν δυνατότητες για να στοχεύσουν servers WordPress.
Η Akamai αποκαλεί το FritzFrog botnet «επόμενης γενιάς» επειδή συνδυάζει χαρακτηριστικά που το κάνουν να ξεχωρίζει από άλλες απειλές της ίδιας κατηγορίας.
Δείτε επίσης: Phorpiex botnet: Η νέα παραλλαγή Twizt διευκολύνει την κλοπή cryptocurrencies
Το malware είναι καλύτερα εξοπλισμένο για να αποφεύγει τον εντοπισμό και να διατηρεί χαμηλό προφίλ λόγω της χρήσης ενός “εντελώς proprietary” πρωτοκόλλου P2P για επικοινωνίες.
Βασίζεται σε ένα εκτενές λεξικό για επιθέσεις brute-force για την εύρεση SSH credentials, κάτι που του επιτρέπει να παραβιάσει μεγαλύτερο αριθμό συσκευών.
Δεύτερο κύμα με νέες ικανότητες
Το παγκόσμιο δίκτυο αισθητήρων Akamai εντόπισε 24.000 επιθέσεις, αλλά το botnet είχε μόνο 1.500 θύματα μέχρι στιγμής. Οι περισσότεροι από τους μολυσμένους hosts βρίσκονται στην Κίνα, αλλά μεταξύ των παραβιασμένων συστημάτων είναι ένα ευρωπαϊκό τηλεοπτικό δίκτυο, μια ρωσική εταιρεία υγειονομικής περίθαλψης και διάφορα πανεπιστήμια στην Ανατολική Ασία.
Επίσης φαίνεται πως τώρα το malware περιέχει κώδικα που θέτει τις βάσεις για τη στόχευση ιστοτόπων WordPress.
Λαμβάνοντας υπόψη ότι το botnet είναι γνωστό για την εξόρυξη κρυπτονομισμάτων, αυτή η λειτουργία είναι μια περίεργη προσθήκη. Ωστόσο, η Akamai υποθέτει ότι οι χάκερ έχουν βρει άλλους τρόπους δημιουργίας εσόδων, όπως η ανάπτυξη ransomware ή διαρροές δεδομένων. Επί του παρόντος, αυτή η δυνατότητα είναι ανενεργή καθώς βρίσκεται υπό επεξεργασία.
Οι ερευνητές σημειώνουν ότι το FritzFrog είναι συνεχώς υπό ανάπτυξη, τα σφάλματα διορθώνονται σε καθημερινή βάση, μερικές φορές πολλές φορές την ημέρα.
Μια άλλη καινοτομία στο πιο πρόσφατο δείγμα του FritzFrog είναι το proxying εξερχόμενων συνδέσεων SSH μέσω του Tor, αποκρύπτοντας τη δομή του δικτύου και περιορίζοντας την ορατότητα από τα μολυσμένα nodes στο δίκτυο botnet. Αν και αυτή η δυνατότητα φαίνεται ολοκληρωμένη, οι προγραμματιστές μέχρι στιγμής δεν την έχουν ενεργοποιήσει.
Τέλος, το σύστημα αντιγραφής (που χρησιμοποιείται για τη μόλυνση νέων συστημάτων) βασίζεται πλέον στο SCP (security copy protocol), αντικαθιστώντας την εντολή cat που υπήρχε στην προηγούμενη έκδοση.
Δείτε επίσης: Το Dark Mirai botnet στοχεύει το RCE δημοφιλούς δρομολογητή TP-Link
Αυτή τη στιγμή, οι ερευνητές της Akamai δεν είναι οριστικά σίγουροι για την ευθύνη της λειτουργίας του FritzFrog, αλλά τα στοιχεία δείχνουν την Κίνα.
Το FritzFrog στοχεύει οποιαδήποτε συσκευή κάνει expose έναν SSH server, επομένως οι διαχειριστές των data center serversν, των cloud instances και των routers πρέπει να παραμείνουν σε επαγρύπνηση.
Πηγή πληροφοριών: bleepingcomputer.com