Preoccupa la scoperta di una nuova botnet P2P chiamata FritzFrog che si serve della rete peer-to-peer per accumulare nella memoria della macchina attaccata i dati che poi assemblano il malware. È in piedi da almeno gennaio, ma c’è già uno script che può sniffare la sua presenza.
FritzFrog è stata scoperta a gennaio e ha buone possibilità di essere annoverata tra le botnet più sofisticate di sempre, perché non ha un vero e proprio centro di comando: sfrutta la rete peer-to-peer ed è molto difficile individuare il suo “cervello”, perché è sparso per la rete. Il dettaglio peggiore è che lancia attacchi senza file, con i dati che arrivano dal P2P e fanno crescere il malware nella memoria della macchina colpita.
Più che come un cervello bisogna immaginare FritzFrog come una sorta di sistema nervoso con nodi complessi. Solitamente, una botnet è formata da una rete dispositivi infetti da virus trojan che diventano zombie nelle mani dei cybercriminali, ma una botnet “standard” ha un centro di comando a cui è possibile risalire. FritzFrog no: è diversa ed è stata programmata da zero.
A scoprirla è stata Guardicore Labs, una società di ricerca sulla sicurezza informatica, che mentre compilava un’enciclopedia delle reti botnet si è imbattuta in FritzFrog. Era il 9 gennaio 2020. Da allora sono state trovate 20 versione diverse dei codici binari di FritzFrog.
Un worm che cresce senza file ricevendo i suoi pezzi dal P2P
 |
| Schema di funzionamento della botnet FritzFrog |
L’attacco di base di FritFrog avviene tramite l’esecuzione di un worm scritto in Golang di tipo modulare, multi-thread e che non lascia tracce sul disco delle macchine infettate. Si serve di “blob” di dati binari che vengono richiamati dai nodi P2P della sua rete malevola. Una volta che sono arrivati tutti nella memoria della macchina da colpire, li assembla nel malware e colpisce.
FritzFrog è completamente proprietario; la sua implementazione P2P è stata scritta da zero, il che significa che gli aggressori non si sono serviti di pacchetti di malware già confezionati, e che li identifica quindi come sviluppatori di software altamente professionali.
I bersagli preferiti di FritzFrog sono i server SSH di uffici governativi, istituzioni educative, centri medici, banche e numerose aziende di telecomunicazioni. Ha tentato attacchi brute-force su decine di milioni di indirizzi IP, riuscendo con successo a violare più di 500 server, infettando note università negli Stati Uniti e in Europa e una compagnia ferroviaria.
FritzFrog non è la prima botnet P2P a essere stata scoperta, ma a differenza delle altre è “senza file”, in quanto assembla ed esegue i payload - ovvero i dati trasmessi all'ignaro bersaglio che compongono l’attacco vero e proprio - direttamente nella memoria del sistema. È più aggressiva nei suoi tentativi di forza bruta, ma rimane efficiente distribuendo gli obiettivi in modo uniforme all'interno dei nodi P2P della rete.
Anche il protocollo P2P di FritzFrog è proprietario e non si basa su alcuna implementazione esistente. Il malware in Golang, come detto, è completamente volatile e non lascia tracce sul disco. Crea una backdoor sotto forma di chiave pubblica SSH, permettendo agli aggressori di accedere continuamente alle macchine delle vittime. Una chiave pubblica SSH (Secure Shell) è una credenziale di autenticazione che definisce chi può accedere a un sistema.
Guardicore Labs non è ancora riuscita ad attribuire FritzFrog a uno specifico gruppo di cybercriminali, ma ha trovato alcune assonanze con la botnet P2P chiamta Rakos.
Uno script che riesce ad ascoltare l'arrivo di FritzFrog
 |
| Script in esecuzione per individuare la botnet |
Però, Guardicore Labs è riuscita a sviluppare un programma in Golang per i client che è in grado di intercettare le comunicazioni P2P di FritzFrog, oltre ad unirsi come peer di rete e seguire il traffico di FritzFrog.
La società di sicurezza consiglia di eseguire lo script sui server SSH che permette di sniffare l’arrivo di FritzFrog, usare password forti rimuovere la chiave pubblica di FritzFrog dal file authorized_keys, impedendo agli aggressori di accedere alla macchina. Qui i dettagli.
Nessun commento:
Posta un commento