A descoberta de um novo tipo de botnet P2P (peer to peer), construída com grande sofisticação no seu desenvolvimento e implementação, foi anunciada ontem pesquisadores da Guardicore, em Israel. Batizada com o nome de FritzFrog, a botnet usa estratégias de brute force para se propagar em dezenas de milhões de endereços IP com serviços de SSH. As instituições mais visadas são agências governamentais, instituições educacionais, centros médicos, bancos e empresas de telecomunicações. As análises da Guardicore mostram que a FritzFrog conseguiu instalar-se em mais de 500 servidores, infectando universidades bem conhecidas nos EUA e na Europa, além de uma empresa de transportes ferroviários não identificada.
O relatório sobre o assunto, assinado pela pesquisadora israelense Ophir Harpaz, informa que embora os países mais contaminados pela nova botnet sejam EUA, China e Coréia do Sul, a FritzFrog está presente até mesmo em máquinas do Brasil. Sua estratégia inclui propagar um worm escrito na linguagem Go (Golang). A botnet é modular, multi-thread e fileless, não deixando pistas no disco da máquina infectada. Além de ser completamente volátil, cria um backdoor sob a forma de uma chave pública SSH, permitindo que os invasores tenham acesso contínuo às máquinas das vítimas. Segundo o relatório, desde o início da campanha foram identificadas 20 diferentes versões do executável do malware.
Veja isso
Botnet Phorpiex retoma ataques e passa a distribuir novo ransomware
Enciclopédia acumula informações sobre campanhas de botnets
A análise dos pesquisadores mostrou que código da FritzFrog é totalmente proprietário; sua implementação P2P foi escrita do zero, indicando que os criminosos contam com desenvolvedores de software altamente qualificados. Segundo Ophir, a Guardicore Labs desenvolveu um programa cliente em Golang que é capaz de interceptar a comunicação P2P da FritzFrog e, ainda, participar da rede de bots. Ela conta que por enquanto não se pode atribuir a botnet FritzFrog a um grupo específico, mas foram encontradas algumas semelhanças com uma botnet P2P vista anteriormente, chamada Rakos.
Fernando Ceolin, diretor de vendas e engenharia da Guardicore no Brasil, expllica que “o grande problema dos ataques FritzFrog é utilizarem um canal válido de comunicação, abrindo um backdoor no ambiente. A única forma de proteção é conhecer o comportamento tradicional da aplicação e evitar qualquer tipo de comunicação não autorizada, inclusive entre servidores que estão no mesmo segmento de rede dos servidores expostos, com o uso de tecnologias de microssegmentação. Esse tipo de operação é muito simples de ser feito e não causa downtime/impacto na operação das aplicações. Porém, em ambientes que utilizam métodos tradicionais de segmentação (vlans/firewalls) esta é uma tarefa que pode ser muito complexa e levar muito tempo para ser feita”.