Исследователи безопасности обнаружили новый ботнет под названием FritzFrog, нацеленный на серверы SSH и способный заразить миллионы устройств IoT.
Большинство ботнетов основано на предыдущих выпусках, но время от времени появляются новые.
FritzFrog – один из таких ботнетов, написанный на Golang с нуля и использующий модульный подход. Операторы, похоже, нацелены на образовательные учреждения, государственные учреждения, финансовые организации и многое другое.
FritzFrog использует собственное P2P-решение, что выгодно отличает его от конкурентов. Кроме того, его операторы не интересуются обычными потребителями, нацеливая вредоносное ПО на более официальные цели, которые дают им большие возможности в случае успеха заражения.
Поскольку он активно взламывает серверы SSH, все устройства IoT, использующие эту функцию, открыты, включая маршрутизаторы. Среди самых больших проблем безопасности в экосистеме IoT – это открытые порты SSH, которые либо оставлены открытыми по ошибке, либо намеренно.
Исследователи безопасности из Guardicore заявили:
«Благодаря своей децентрализованной инфраструктуре он распределяет контроль между всеми своими узлами. В этой сети без единой точки отказа одноранговые узлы постоянно взаимодействуют друг с другом, чтобы поддерживать сеть в рабочем состоянии, отказоустойчивости и актуальности.
P2P-связь осуществляется по зашифрованному каналу с использованием AES для симметричного шифрования и протокола Диффи-Хеллмана для обмена ключами. Полностью изменчив и не оставляет следов на диске. Он создает бэкдор в виде открытого ключа SSH, позволяя злоумышленникам получить постоянный доступ к машинам жертвы».
Исследователи написали программу, которая позволяла им перехватывать P2P-коммуникации и видеть всю сеть. У администраторов есть несколько индикаторов взлома, которые они могут использовать. Они могут:
- Проверить, запущен ли на сервере безфайловый процесс nginx.
- Понять, прослушивает ли он порт 1234.
Если перезагрузка невозможна, администраторы должны убить поддельный процесс, заблокировать порт (включая №5555, используемый для майнинга криптовалют) и заблокировать трафик к домену xmrpool.eu.
