FritzFrog è il nome di una nuova botnet che opera già dal mese di Gennaio e che utilizza la rete peer-to-peer per assemblare il malware all’interno della macchina target.
Molto semplicemente, una botnet consiste in un sistema centrale che comanda tantissimi altri sistemi automatici, definiti bot, che insieme creano una vera e propria rete (da qui il nome) e possono eseguire diverse azioni a discapito di utenti ignari. Una botnet può essere impiegata, ad esempio, per eseguire un attacco DDoS e rendere inutilizzabile un servizio web oppure per infettare milioni di PC attraverso un malware. Negli anni sono spuntati fuori decine di casi di botnet che hanno messo fuori uso intere reti aziendali, ma parlando di FritzFrog ci riferiamo a qualcosa di ancora più grande e pericoloso. Questa botnet infatti non ha un proprio host di riferimento, che dovrebbe controllare il funzionamento degli altri host collegati ma attacca gli utenti creando il malware all’interno della macchina target stessa utilizzando la connessione peer-to-peer. Come molti di voi sapranno, la rete peer-to-peer si basa sulla condivisione di parti di file affinché gli utenti possano effettuare il download completo di un file. Uno dei software più conosciuti che si basa su questo concetto è eMule.
FritzFrog agisce ad un livello più sofisticato e difficile da bloccare, in quanto il sistema centrale non si può individuare da un singolo host ma è suddiviso all’interno della stessa botnet. Questa botnet è stata programmata da zero e scoperta nel 9 Gennaio 2020 da Guardicore Labs, azienda che si occupa di sicurezza informatica.
L’attacco alla base di FritzFrog si serve di un cosiddetto worm (verme in inglese), che infetta la macchina della vittima senza che quest’ultima se ne accorga. A questo punto la rete P2P fa il suo corso, recuperando tramite blob binari le varie parti del malware e assemblandole alla fine all’interno del computer target. In questo modo è possibile attaccare un sistema senza richiedere un intervento da parte dell’utente finale, che a questo punto non si accorge di essere stato attaccato. Al momento FritzFrog ha colpito principalmente server governativi, università, istruzioni e centri medici, con oltre 500 violazioni di server SSH tramite attacchi a forza bruta. Il vero pericolo si FritzFrog non è tanto nell’impiego di una rete peer-to-peer, ma quanto nel mancato uso di un qualsiasi file per infettare il sistema della vittima, in quanto gli autori della botnet non hanno sfruttato alcun malware già compilato ma sfruttano la memoria del sistema per agire senza lasciare tracce.
Il malware è stato scritto in linguaggio Golang e crea una connessione SSH a chiave pubblica sulle macchine vittime dell’attacco, così che gli hacker possa accedervi in qualunque momento. Di botnet P2P ne sono state scovate diverse nel corso degli anni, ma FritzFrog ancora non riesce a trovare un’identità tra gli esperti di sicurezza, che hanno inoltre individuato diverse varianti in questi mesi. Sembra però che Guardicore Labs abbia trovato una soluzione che può non solo individuare il traffico proveniente dalla botnet ma anche rimuovere la chiave SSH pubblica da quelle autorizzate dal sistema. Si tratta di un semplice script in Golang, che va eseguito su server SSH in ascolto sulla porta 1234.
Fonte: Guardicore Labs