Na czym polega zagrożenie

Badacze odkryli ich zdaniem nieznany wcześniej botnet, który wykorzystuje zaawansowane techniki, aby potajemnie atakować miliony serwerów SSH na całym świecie.

Naukowcy z firmy Guardicore Labs poinformowali, że botnet wykorzystuje autorskie oprogramowanie napisane od podstaw, aby infekować serwery i włączać je do sieci peer-to-peer. Botnety P2P rozdzielają swoją administrację na wiele zainfekowanych węzłów, zamiast polegać na serwerze kontrolnym (command & control server), który wysyła polecenia i odbiera skradzione dane. Bez scentralizowanego serwera botnety są na ogół trudniejsze do wykrycia i trudniejsze do zamknięcia.

Jak to ujął Ophir Harpaz, badacz Guardicore Labs:

To, co było intrygujące w tej operacji to fakt, że na pierwszy rzut oka nie było żadnego połączenia z serwerem dowodzenia i kontroli (CNC). Zrozumieliśmy, że CNC nie istnieje, już na samym początku naszej analizy.

Fajerwerki

Botnet, którego badacze z Guardicore Labs nazwali FritzFrog, ma wiele innych zaawansowanych funkcji, w tym:

1. Kawałki kodu przechowywane w pamięci, które nigdy nie są zapisywane na dyskach zainfekowanych serwerów (in-memory payloads).
2. Co najmniej 20 wersji binarnych oprogramowania od stycznia.
3. Wyspecjalizowanie się wyłącznie na infekowaniu bezpiecznej powłoki lub serwerów SSH, których administratorzy sieci używają do zarządzania maszynami.
4. Zdolność do instalowania backdoora na zainfekowanych serwerach.
5. Botnet używa listę kombinacji danych logowania używanych do wyszukania słabych haseł logowania, co samo w sobie nie jest może nowością ale w przypadku FritzFroga zestaw loginów i haseł jest bardziej „obszerny” niż to co można było zaobserwować we wcześniej widzianych botnetach.

To wszystko wskazuje na ponadprzeciętnego operatora, który zainwestował znaczne środki w stworzenie botnetu skutecznego, trudnego do wykrycia i odpornego na usunięcie. Szybko ewoluujące wersje i usytuowanie oprogramowania wyłącznie w pamięci operacyjnej utrudnia wykrywanie infekcji przez oprogramowanie antywirusowe i inne zabezpieczenia.

Skala jest poważna

Badacze firmy po raz pierwszy natknęli się na botnet w styczniu. Od tego czasu celował w dziesiątki milionów adresów IP należących do agencji rządowych, banków, firm telekomunikacyjnych i uniwersytetów. Do tej pory botnetowi udało się zainfekować 500 serwerów należących do znanych uniwersytetów w Stanach Zjednoczonych i Europie oraz firmy kolejowej.

Dobrze ukryty

Konstrukcja peer-to-peer utrudnia z kolei zamknięcie botnetu. Typowym sposobem obalenia botnetów jest bowiem przejęcie kontroli nad serwerem dowodzenia. W przypadku serwerów zainfekowanych FritzFrog, które zdecentralizowały kontrolę nad sobą, ten tradycyjny środek nie działa. Peer-to-peer uniemożliwia również przeszukiwanie serwerów kontrolnych i domen w poszukiwaniu wskazówek na temat atakujących.

Technikalia

Po zainstalowaniu oprogramowanie może wykonać 30 poleceń, w tym te, które uruchamiają skrypty i pobierają bazy danych, dzienniki lub pliki. Aby ominąć zapory ogniowe napastnicy przesyłają polecenia przez SSH do klienta netcat na zainfekowanej maszynie. Następnie Netcat łączy się z serwerem złośliwego oprogramowania. Wzmianka o tym serwerze sugeruje, że struktura peer-to-peer FritzFrog może nie być bezwzględnie stosowana we wszystkich zastosowaniach. Możliwe też, że ów „serwer złośliwego oprogramowania” jest hostowany na jednej z zainfekowanych maszyn, a nie na serwerze dedykowanym. Badania Guardicore Labs nad botnetem dopiero się zaczynają.