Des chercheurs en sécurité ont récemment découvert un P2P sophistiqué (d'égal à égal) botnet qui a mené des attaques contre au moins 500 serveurs SSH gouvernementaux et d'entreprise 2020. Surnommé FritzFrog, le botnet a été détecté par Guardicore Labs en janvier.
Apparemment, le botnet a tenté de réaliser des attaques par force brute contre des serveurs SSH appartenant à diverses organisations dans le monde, y compris gouvernemental, éducatif, financier, médical et télécom.
Le botnet P2P de FritzFrog en détail
Comment les chercheurs ont-ils découvert FritzFrog?
Le botnet FritzFrog a été découvert par le chercheur Ophir Harpaz, chercheur de Guardicore, alors qu'il travaillait sur la soi-disant Encyclopédie Botnet, un outil de suivi des menaces gratuit.
Le botnet a violé au moins 500 serveurs, certains d'entre eux appartenant à des universités américaines et européennes de premier plan. Alors que les chercheurs n'ont pas pu attribuer le botnet FritzFrog à un groupe de menaces spécifique, ils ont découvert une ressemblance avec un botnet P2P précédemment connu nommé Rakos.
Le malware Rakos a été conçu pour rechercher des victimes via des analyses SSH, avec des attaques enregistrées dans 2016. Le code du botnet Rakos a été écrit en langage Go. À l'époque, les chercheurs en sécurité ont déterminé que le logiciel malveillant ne pouvait pas configurer une installation persistante, mais préfère attaquer les hôtes ciblés à plusieurs reprises.
FritzFrog est également écrit dans la langue Golang. Le botnet est décrit comme “complètement volatile“, ne laissant aucune trace sur le disque. Il crée également une porte dérobée sous la forme d'une clé publique SSH, accordant ainsi aux attaquants un accès continu aux machines ciblées. Depuis le début de la campagne, les chercheurs ont pu identifier 20 différentes versions de l'exécutable du malware.
Comment les chercheurs ont-ils analysé les attaques de FritzFrog?
Pour intercepter le réseau FritzFrog, l'équipe a développé un programme client à Golang, qui effectue le processus d'échange de clés avec le malware. Le programme client est également capable d'envoyer des commandes et de recevoir leurs sorties. Les chercheurs ont nommé leur programme Frogger, et les a aidés à enquêter sur la nature et la portée du réseau botnet. Utiliser Frogger, ils “ont également pu rejoindre le réseau en «injectant» nos propres nœuds et en participant au trafic P2P en cours.”
Le botnet sophistiqué a réussi à forcer brutalement des millions d'adresses IP, y compris ceux des gouvernements, les établissements d'enseignement, centres médicaux, banques et entreprises de télécommunications.
En outre, FritzFrog “a réussi à franchir 500 Serveurs SSH, y compris ceux des établissements d'enseignement supérieur connus aux États-Unis. et en Europe, et une compagnie ferroviaire,” le rapport.
Comment les entreprises et les organisations peuvent-elles rester protégées contre FritzFrog?
Ce qui permet à ce botnet est l'utilisation de mots de passe faibles. Les chercheurs recommandent d'utiliser des mots de passe forts et d'utiliser l'authentification par clé publique. Il est également crucial de supprimer la clé publique de FritzFrog du fichier allowed_keys, ce qui empêcherait les attaquants d'accéder à la machine ciblée. En outre, il s'avère que les routeurs et les appareils IoT exposent souvent SSH, ce qui les rend vulnérables aux attaques FritzFrog.
Un bon conseil est de changer leur port SSH ou de désactiver complètement l'accès SSH, surtout si le service n'est pas utilisé. Une autre astuce consiste à utiliser des règles de segmentation basées sur les processus, car le botnet exploite le fait que la plupart des solutions de sécurité réseau appliquent le trafic uniquement par port et protocole.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: