Pesquisadores de segurança descobriram recentemente um P2P sofisticado (pessoa para pessoa) botnet que realizou ataques contra pelo menos 500 servidores SSH governamentais e empresariais em todo 2020. Dublado FritzFrog, o botnet foi detectado pelo Guardicore Labs em janeiro.
Pelo visto, o botnet tentou realizar ataques de força bruta contra servidores SSH que pertencem a várias organizações em todo o mundo, incluindo governamental, educacional, financeiro, médica e telecomunicações.
O botnet FritzFrog P2P em detalhes
Como os pesquisadores descobriram o FritzFrog?
O botnet FritzFrog foi descoberto pelo pesquisador Ophir Harpaz, do Guardicore, enquanto ele trabalhava na chamada Enciclopédia de Botnet, um rastreador de ameaças gratuito.
O botnet violou pelo menos 500 servidores, alguns deles pertencentes a importantes universidades americanas e europeias. Embora os pesquisadores não tenham conseguido atribuir o botnet FritzFrog a um grupo específico de ameaças, eles descobriram alguma semelhança com um botnet P2P anteriormente conhecido chamado Rakos.
O malware Rakos foi projetado para procurar vítimas por meio de varreduras SSH, com ataques registrados em 2016. O código do botnet Rakos foi escrito na linguagem Go. Naquela época, pesquisadores de segurança determinaram que o malware não conseguiu configurar uma instalação persistente, mas prefere atacar os hosts alvo repetidamente.
FritzFrog também é escrito na linguagem Golang. O botnet é descrito como “completamente volátil“, não deixando rastros no disco. Ele também cria um backdoor na forma de uma chave pública SSH, garantindo assim aos invasores acesso contínuo às máquinas alvo. Desde o início da campanha, os pesquisadores foram capazes de identificar 20 diferentes versões do executável do malware.
Como os pesquisadores analisaram os ataques FritzFrog?
Para interceptar a rede FritzFrog, a equipe desenvolveu um programa de cliente em Golang, que realiza o processo de troca de chaves com o malware. O programa cliente também é capaz de enviar comandos e receber seus resultados. Os pesquisadores chamaram seu programa de frogger, e os ajudou na investigação da natureza e escopo da rede botnet. Usando Frogger, eles “também pudemos entrar na rede “injetando” nossos próprios nós e participando do tráfego P2P em andamento.”
A sofisticada rede de bots conseguiu forçar com sucesso milhões de endereços IP, incluindo governos, instituições educacionais, centros médicos, bancos e empresas de telecomunicações.
além do que, além do mais, FritzFrog “violou com sucesso 500 Servidores SSH, incluindo aquelas de instituições de ensino superior conhecidas nos EUA. e na Europa, e uma companhia ferroviária,” segundo o relatório.
Como as empresas e organizações podem ficar protegidas contra FritzFrog?
O que habilita esse botnet é o uso de senhas fracas. Os pesquisadores recomendam o uso de senhas fortes e autenticação de chave pública. Também é crucial remover a chave pública do FritzFrog do arquivo authorized_keys, que impediria os invasores de acessar a máquina alvo. além disso, Acontece que roteadores e dispositivos IoT costumam expor SSH, o que os torna vulneráveis a ataques FritzFrog.
Um bom conselho é mudar sua porta SSH ou desabilitar completamente o acesso SSH, especialmente se o serviço não estiver em uso. Outra dica é utilizar regras de segmentação baseadas em processos, já que o botnet explora o fato de que a maioria das soluções de segurança de rede impõe tráfego apenas por porta e protocolo.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: