I ricercatori di Guardicore Labs nell’agosto 2020 hanno identificato per la prima volta FritzFrog, una sofisticata botnet peer-to-peer (P2P) in grado di violare i server SSH esposti verso internet. Una botnet già identificata in passato che aveva preso di mira istituzioni governative, educative, sanitarie e finanziarie, arrivando ad infettare oltre che banche, centri medici, società di telecomunicazioni anche prestigiose università e persino una compagnia ferroviaria. Rimasta dormiente per quasi un anno, è stata identificata la versione 2.0 verso la fine di dicembre 2021, un malware che presenta nuove componenti e caratteristiche ancora più pericolose della precedente versione. Andiamo più nel dettaglio.
Comportamento del malware
Per botnet si intende uno o più dispositivi infettati da un malware che rimangono in attesa di ordini da parte di un criminal hacker, che potrà utilizzarli per compiere futuri attacchi informatici.
FritzFrog è un malware basato sul linguaggio di programmazione creato da Google, Golang, si propaga su sistemi Unix e tramite protocollo SSH: una volta trovate le credenziali di un server utilizzando la tecnica di brute force, stabilisce una sessione SSH con il server rilasciando quindi il malware totalmente in memoria. La nuova versione della botnet è considerata una tra le più sofisticate dell’ultimo periodo e bisogna approfondire le ragioni
Una botnet solo in memoria
Il malware è fileless, ovvero è eseguito unicamente in memoria, questo implica che un semplice riavvio della macchina eliminerebbe il malware. Per questo motivo il criminal hacker ha creato una backdoor, un accesso diretto al server infettato, salvando le credenziali e inserendo la propria chiave pubblica in whitelist al fine di poter infettare la vittima nuovamente in un secondo momento. Il malware inoltre crea dei blob – bulk of binary data – che permettono di dividere i file in più segmenti, sempre in memoria, enumerati tramite il loro hash. In caso di richiesta di dati il malware tramite una funzione ad hoc “getblobstats” colleziona i blob interessati e tramite protocollo HTTP sulla porta 1234 ne permette la condivisione
Aggressiva e Unica
Come già detto ogni vittima diventa un nuovo attaccante che inizierà a connettersi con tutti i server esposti che hanno attivo il protocollo SSH tramite la tecnica di Brute Force, che utilizza un vasto dizionario di possibili credenziali. Compromesso il server, la macchina attaccante inizierà a comunicare con la vittima tramite un protocollo P2P non standard. La vittima entrerà a far parte della rete dell’attaccante, in uno schema di nodi e nuovi obiettivi.
Miner di Cryptovalute
Il criminal hacker ottiene il massimo rendimento da ogni vittima, infatti il server compromesso non solo diventerà un nuovo vettore di attacco e condividerà tutti i dati sensibili contenuti ma diventerà anche un miner della criptovaluta Monero. Questa caratteristica è stata identificata dalle connessioni al pool pubblico web[.]xmrpool[.]eu utilizzando la porta 5555, denominando il processo come libexec.
Provenienza Orientale
Akamai – ha aggiunto che per quanto riguarda la sua origine non ci sia ancora certezza – ritiene che la minaccia FritzFrog sia nata in Cina e a sostegno di questa ipotesi, sono emerse somiglianze con il malware Mozi. Gli stessi indirizzi dei wallet legati alle operazioni di mining della seconda campagna di FritzFrog sono stati utilizzati anche dalla botnet Mozi, constatata di provenienza cinese. Inoltre la nuova versione di FritzFrog ha implementato una libreria Scp scritta in golang condivisa su Github e un fork presente nella stessa libreria, entrambi sviluppati da due utenti situati a Shanghai. A conclusione della provenienza circa il 37% di tutti i nodi attivi di FritzFrog si trovano in Cina.
Come proteggersi
Prevenire questa tipologia di attacco e la conseguente esfiltrazioni di dati del proprio server è possibile tramite l’implementazione di una soluzione di tipo NDR (Network Detection and Response). Attraverso l’analisi costante del traffico dell’infrastruttura e grazie ai suoi motori di Artificial Intelligence e Threat Intelligence, è possibile individuare i numerosi tentativi di Brute Force dell’attaccante. L’artificial intelligence permette di identificare i comportamenti anomali del server e del drastico aumento di traffico, e tramite l’analisi degli indirizzi esterni contattati, permette di individuare le connessioni sospette e malevole.
È inoltre consigliato:
- Verificare l’esistenza dei processi nginx, ifconfig e libexec e l’esistenza dei rispettivi file
- Verificare che il server non sia in ascolta sulla porta 1234
- Verificare il traffico sulla porta 5555, che potrebbe indicare delle connessioni verso il pool di Monero