Af Eskil Sørensen, 24/08/20
Sikkerhedsforskere har opdaget et nyt botnet, som har kompromitteret SSH-servere siden januar. SSH-servere er software, der findes i routere og IoT-enheder mv. og de bruger den sikre shell-protokol til at acceptere forbindelsen mellem eksterne computere.
Det er sikkerhedsfirmaet Guardicore, der har opdaget botnettet, der har fået navnet FritzFrog. Den har en ormelignende egenskab og evner at brute-force credentials hos myndigheder, uddannelsesinstitutioner, banker og televirksomheder mv.
Ifølge Threatpost har FritzFrog forsøgt at kompromittere mio. af maskiner og er lykkedes at bryde ind i indtil videre 500 servere, bl.a. hos universiteter i USA og Europa.
Malwaren er skrevet i Golang og er tilsyneladende modulær i sin opbygning, multithreaded og fil-løs, hvorfor den ikke efterlader sig spor på den inficerede maskines disk. Når serveren er kompromitteret, bliver der etableret en bagdør, som muliggør at angribere kan få adgang til offerets maskine.
Stærke passwords styrker sikkerheden
At FritzFrog er en peer-to-peer botnet betyder, at den har større modstandskraft, fordi kontrollen med det er decentraliseret og spredt ud på en række forskellige knudepunkter. Dvs. der er ikke et bestemt sted, hvorfra botnettet styres og kontrolleres.
Som i så mange andre tilfælde er svage passwords årsagen til, at FritzFrog kan spredes.
Links:
https://threatpost.com/fritzfrog-botnet-millions-ssh-servers/158489/
https://www.guardicore.com/2020/08/fritzfrog-p2p-botnet-infects-ssh-servers/
https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog