Щойно відкритий дослідниками P2P-ботнет вразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року. Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.
За словами дослідника Офіра Харпаза, протягом останніх восьми місяців FritzFrog намагався зламати методом брутфорсу (або ж підбору вхідних даних) сервери SSH, що належать державним установам, закладам освіти, а також фінансовим, медичним та телекомунікаційним компаніях у всьому світі, пише ZDNet.
Пошкоджено щонайменше 500 серверів, у тому числі підключені до обчислювальних центрв відомих університетів США та Європи, а також корпоративний сервер неназваної залізничної компанії. FritzFrog – це децентралізований ботнет, який використовує протоколи P2P для розподілу контролю над усіма його вузлами, тим самим уникаючи наявності одного контролера або єдиного слабкого місця.
Після входу на SSH-сервер методом підбору пароля, зловмисне програмне забезпечення, яке розгортається в заражених системах, залишається без файлів і зберігається лише в пам’яті – можливо, намагаючись уникнути виявлення та залишити мало слідів своєї присутності. За даними команди, кожна заражена машина потім стає ботом, здатним приймати та виконувати команди.
Шкідливе програмне забезпечення FritzFrog написано на Golang, і невдовзі було виявлено понад 20 варіантів програми. Після виконання FritzFrog розпаковує зловмисне програмне забезпечення під іменами ifconfig та nginx та налаштовує “приймач” для команд, що надсилаються через порт 1234. Однак, ці команди, як правило, легко помітити, і тому зловмисники підключаються до жертви через SSH та замість цього запускають мережевий клієнт.
Перша команда приєднує машину жертви до існуючої бази даних однорангових мереж та підлеглого вузлів. Інші команди, всі з яких AES- зашифровані, включають додавання відкритого ключа SSH-RSA до файлу санкціонованих ключів, щоб створити резервну панель, запущені команди оболонки для контролю ресурсів та використання процесора жертви та моніторингу мережі. Частина зловмисного програмного забезпечення FritzFrog також може розповсюджуватися за протоколом SSH.
Основна мета FritzFrog – здобути криптовалюту. XMRig, майнер Monero, яким оперує ботнет, розгорнуто та підключено до публічного пулу web.xmrpool.eu через порт 5555. Якщо процеси на сервері перетягують ресурси процесора, зловмисне програмне забезпечення може вбити їх, щоб надати майнеру якомога більше ресурсів. FritzFrog також обмінюється файлами, розділяючи вміст на двійкові блоки даних, зберігаючи їх у пам’яті та зберігаючи ці дані за картою, що пов’язує хеш-значення кожного блоку.
Протокол P2P, який використовується для зв’язку через ботнет, є “оригінальною розробкою”, зазначає Guardicore, і “не заснований на будь-якій існуючій версії протоколу”, наприклад, μTP.
Це може сказати про те, що “зловмисники є високопрофесійними розробниками програмного забезпечення”, – каже команда. Хоча конкретних підказок щодо того, кому належить цей ботнет, немає, деякі спільні риси виявлені між FritzFrog та Rakos, ботнетом, виявленим у 2016 році.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як змінити пароль у Facebook? ІНСТРУКЦІЯ
Що робити, щоб унеможливити відслідковування Вашого телефону? Поради
Як вимкнути геолокацію на усіх знімках, якими Ви ділитеся зі свого iPhone?
“Додайте гучності!” Вісім способів покращити звук на Вашому смартфоні
Як захистити дані на смартфоні, якщо Ви його втратите? ІНСТРУКЦІЯ
Нагадаємо, через американські санкції компанія Huawei буде змушена повністю припинити виробництво смартфонів, побудованих на базі процесорів власного виробництва з лінійки HiSilicon Kirin. Пов’язано це з тим, що тайванський виробник чипсетів TSMC не зможе використовувати американське обладнання для виготовлення продукції цього бренду, так як влада США заборонила це робити з 16 вересня 2020 року.
Також на конференції з інформаційної безпеки Black Hat 2020 фахівець Patrick Wardle з компанії Jamf розповів про низку експлойтів, що дозволяє обійти захист Microsoft від шкідливих макросів для зараження пристроїв під управлінням macOS. Уразливості представляють собою так звані zero-click, тобто, для їх експлуатації участь жертви не потрібна. Вони дозволяють зловмисникам доставляти шкідливе ПЗ користувачам macOS за допомогою документа Microsoft Office з макросами.
Окрім цього, використовуючи KrØØk, зловмисники можуть перехоплювати та розшифровувати конфіденційні дані жертв. Це можливо завдяки тому, що дані бездротової мережі шифруються за допомогою парного сеансового ключа WPA2, що складається з нулів, замість належного сеансового ключа. Для перехоплення даних кіберзлочинцям не потрібно знати навіть пароль від Wi-Fi, а достатньо знаходитися в межах сигналу Wi-Fi.
Зауважте, що шахраї навчилися красти інформацію через підробку Saved Messages у Telegram. Цим чатом люди користуються як листуванням з самим собою, і можуть зберігати там важливі і конфіденційні відомості.
До речі, шкідливі розширення були виявлені у Chrome Web Store під час вивчення декількох підроблених блокувальників реклами, що розповсюджувалися через магазин розширень. Фахівці виявили 295 шкідливих розширень, завантажених з магазину понад 80 млн разів.
