I ricercatori di sicurezza hanno recentemente scoperto un sofisticato P2P (peer to peer) botnet che ha effettuato attacchi contro almeno 500 server SSH governativi ed aziendali ovunque 2020. Soprannominato FritzFrog, la botnet è stata rilevata da Guardicore Labs a gennaio.
Apparentemente, la botnet ha tentato di eseguire attacchi di forza bruta contro i server SSH che appartengono a varie organizzazioni in tutto il mondo, compreso governativo, educativo, finanziario, medico e telecomunicazioni.
Botnet P2P FritzFrog in dettaglio
Come hanno scoperto i ricercatori FritzFrog?
La botnet FritzFrog è stata scoperta dal ricercatore ricercatore di Guardicore Ophir Harpaz mentre lavorava alla cosiddetta Botnet Encyclopedia, un tracker delle minacce gratuito.
Almeno la botnet ha violato 500 server, alcuni di loro appartengono a importanti università statunitensi ed europee. Mentre i ricercatori non sono stati in grado di attribuire la botnet FritzFrog a un gruppo di minacce specifico, hanno scoperto una certa somiglianza con a botnet P2P precedentemente noto denominato Rakos.
Il malware Rakos è stato progettato per cercare vittime tramite scansioni SSH, con attacchi registrati in 2016. Il codice della botnet Rakos è stato scritto nella lingua Go. Allora, i ricercatori di sicurezza hanno stabilito che il malware non poteva configurare un'installazione persistente, ma preferirebbe attaccare ripetutamente gli host presi di mira.
FritzFrog è anche scritto nella lingua Golang. La botnet è descritta come “completamente volatile“, senza lasciare tracce sul disco. Crea anche una backdoor sotto forma di chiave pubblica SSH, garantendo così agli aggressori l'accesso continuo alle macchine mirate. Dall'inizio della campagna, i ricercatori sono stati in grado di identificare 20 diverse versioni dell'eseguibile del malware.
In che modo i ricercatori hanno analizzato gli attacchi di FritzFrog?
Per intercettare la rete FritzFrog, il team ha sviluppato un programma client a Golang, che esegue il processo di scambio delle chiavi con il malware. Il programma client è anche in grado di inviare comandi e ricevere i loro output. I ricercatori hanno chiamato il loro programma frogger, e li ha aiutati nello studio della natura e della portata della rete botnet. Usando frogger, essi “sono stati anche in grado di unirsi alla rete "iniettando" i nostri nodi e partecipando al traffico P2P in corso.”
La sofisticata botnet ha forzato con successo milioni di indirizzi IP, compresi quelli dei governi, istituzioni educative, centri medici, banche e società di telecomunicazioni.
In aggiunta, FritzFrog “ha violato con successo 500 Server SSH, compresi quelli di noti istituti di istruzione superiore negli Stati Uniti. e l'Europa, e una compagnia ferroviaria,” dice il rapporto.
Come possono le imprese e le organizzazioni rimanere protette contro FritzFrog?
Ciò che abilita questa botnet è l'uso di password deboli. I ricercatori consigliano di utilizzare password complesse e di utilizzare l'autenticazione con chiave pubblica. È anche fondamentale rimuovere la chiave pubblica di FritzFrog dal file authorized_keys, che impedirebbe agli aggressori di accedere alla macchina mirata. Inoltre, si scopre che router e dispositivi IoT spesso espongono SSH, il che li rende vulnerabili agli attacchi FritzFrog.
Un buon consiglio è cambiare la loro porta SSH o disabilitare completamente l'accesso SSH, soprattutto se il servizio non è in uso. Un altro suggerimento è utilizzare le regole di segmentazione basate sul processo, poiché la botnet sfrutta il fatto che la maggior parte delle soluzioni di sicurezza di rete impone il traffico solo in base alla porta e al protocollo.