Найти в Дзене
Bitdefender Россия
143 подписчика

Новый ботнет, написанный с нуля, нацелен на SSH-серверы

2
1 мин
Исследователи безопасности обнаружили новый ботнет под названием FritzFrog, нацеленный на серверы SSH и способный заразить миллионы устройств IoT. Большинство ботнетов основано на предыдущих выпусках, но время от времени появляются новые. FritzFrog – один из таких ботнетов, написанный на Golang с нуля и использующий модульный подход. Операторы, похоже, нацелены на образовательные учреждения, государственные учреждения, финансовые организации и многое другое. FritzFrog использует собственное P2P-решение, что выгодно отличает его от конкурентов. Кроме того, его операторы не интересуются обычными потребителями, нацеливая вредоносное ПО на более официальные цели, которые дают им большие возможности в случае успеха заражения. Поскольку он активно взламывает серверы SSH, все устройства IoT, использующие эту функцию, открыты, включая маршрутизаторы. Среди самых больших проблем безопасности в экосистеме IoT – это открытые порты SSH, которые либо оставлены открытыми по ошибке, либо намеренно. И

Исследователи безопасности обнаружили новый ботнет под названием FritzFrog, нацеленный на серверы SSH и способный заразить миллионы устройств IoT.

Большинство ботнетов основано на предыдущих выпусках, но время от времени появляются новые.

FritzFrog – один из таких ботнетов, написанный на Golang с нуля и использующий модульный подход. Операторы, похоже, нацелены на образовательные учреждения, государственные учреждения, финансовые организации и многое другое.

FritzFrog использует собственное P2P-решение, что выгодно отличает его от конкурентов. Кроме того, его операторы не интересуются обычными потребителями, нацеливая вредоносное ПО на более официальные цели, которые дают им большие возможности в случае успеха заражения.

Поскольку он активно взламывает серверы SSH, все устройства IoT, использующие эту функцию, открыты, включая маршрутизаторы. Среди самых больших проблем безопасности в экосистеме IoT – это открытые порты SSH, которые либо оставлены открытыми по ошибке, либо намеренно.

Исследователи безопасности из Guardicore заявили:

«Благодаря своей децентрализованной инфраструктуре он распределяет контроль между всеми своими узлами. В этой сети без единой точки отказа одноранговые узлы постоянно взаимодействуют друг с другом, чтобы поддерживать сеть в рабочем состоянии, отказоустойчивости и актуальности.
P2P-связь осуществляется по зашифрованному каналу с использованием AES для симметричного шифрования и протокола Диффи-Хеллмана для обмена ключами. Полностью изменчив и не оставляет следов на диске. Он создает бэкдор в виде открытого ключа SSH, позволяя злоумышленникам получить постоянный доступ к машинам жертвы».

Исследователи написали программу, которая позволяла им перехватывать P2P-коммуникации и видеть всю сеть. У администраторов есть несколько индикаторов взлома, которые они могут использовать. Они могут:

  1. Проверить, запущен ли на сервере безфайловый процесс nginx.
  2. Понять, прослушивает ли он порт 1234.

Если перезагрузка невозможна, администраторы должны убить поддельный процесс, заблокировать порт (включая №5555, используемый для майнинга криптовалют) и заблокировать трафик к домену xmrpool.eu.

Гаджеты и электроника
5,73 млн интересуются