Un nou botnet P2P infectează serverele SSH

Cercetătorii în securitate cibernetică de la firma Guardicore Labs au descoperit în luna ianuarie o rețea botnet care folosește măsuri neobișnuit de avansate și a vizat zeci de milioane de adrese IP aparținând agențiilor guvernamentale, băncilor, companiilor de telecomunicații și universităților. Rețeaua botnet a reușit până acum să infecteze 500 de servere aparținând unor universități din SUA și Europa și unei companii feroviare.

Botnetul utilizează un software proprietar scris pentru a infecta servere și a le conecta într-o rețea peer-to-peer (P2P). Botnet-urile P2P distribuie administrarea între nodurile infectate, în loc să se bazeze pe un server de comandă și control (C&C), pentru a trimite comenzi și a primi date arhivate. Fără un server centralizat, rețelele bot sunt în general mai greu de gasit și de oprit.

Rețeaua botnet, denumită FritzFrog de către cercetători, are o serie de caracteristici avansate, precum:

  • Programe ce rulează în memorie, care nu sunt scrise niciodată discurile serverelor infectate;
  • Există cel puțin 20 de versiuni ale software-ului;
  • Obiectivul este infectarea serverelor SSH;
  • Capacitatea de crea backdoor în serverele infectate;
  • Conține o listă de combinații de credențiale, utilizate pentru a identifica parolele de autentificare slabe, mult mai extinsă decât cele din alte botnet-uri descoperite anterior.

Aceste caracteristici indică un hacker peste medie, care a investit resurse considerabile pentru a construi un botnet eficient, dificil de detectat și rezistent la eliminare.  Proiectarea peer-to-peer a rețelei botnet îngreunează oprirea atacurilor și face imposibilă trecerea prin serverele C&C și domenii, pentru căutarea de indicii despre atacatori. Mai mult, măsura tradițională de eliminare a rețelei botnet prin preluarea controlul serverului de comandă și control nu funcționează, serverele infectate cu FritzFrog exercitând un control descentralizat unul față de celălalt. 

Aplicația malware poate executa 30 de comenzi, pentru a rula scripturi și a descarca baze de date, jurnale sau fișiere. Pentru a sustrage detecției, atacatorii trimit comenzi prin SSH către un client netcat de pe mașina infectată. Netcat se conectează apoi la un server malware.

Pentru a se infiltra și analiza botnet-ul, cercetătorii au dezvoltat un program care schimbă cheile de criptare pe care botnet-ul le folosește pentru a trimite comenzi și a primi date.

„Acest program, pe care l-am numit Frogger, ne-a permis să investigăm natura și dimensiunea rețelei”, au anunțat cercetătorii. „Folosind Frogger, am putut să intrăm în rețea, injectându-ne propriile noduri și participând la traficul P2P în desfașurare.”

Înainte de repornirea mașinilor infectate, FritzFrog instalează o cheie publică de criptare în fișierul „ authorized_keys” al serverului. Certificatul acționează ca un backdoor în cazul în care parola slabă este schimbată.

Concluzia cercetătorilor este faptul că administratorii care nu protejează serverele SSH atât cu o parolă puternică, cât și cu un certificat criptografic, pot fi deja infectați cu programe malware greu de detectat. Raportul publicat conține un link către indicatorii de compromis și către un program care poate identifica serverele infectate.

Sursa: www.arstechnica.com