Circa 18 mesi fa vi abbiamo raccontato di FritzFrog, una botnet specificamente studiata per sfruttare SSH (Secure SHell) per ottenere accesso ai sistemi.

Le caratteristiche avanzate di questo malware erano parecchie, e le riassumiamo di seguito:

• possibilità di caricare il payload in memoria (per non dover usare il disco, spesso monitorato più strettamente);
• comunicazioni criptate P2P;
• uso della connessione SSH stessa per la comunicazione;
• uso di chiavi SSH (per ignorare eventuali reset delle password degli account compromessi);
• controllo decentralizzato (così da non poter essere fermato dalla distruzione del server centrale di controllo);
• almeno venti versioni diverse in pochi mesi (da gennaio 2020, data di scoperta, ad agosto 2020, data dell’articolo);
• capacità di distribuire i bersagli tra tutti i nodi disponibili (per evitare di attaccare in due lo stesso bersaglio);
• scritto in golang;
• attacco sia macchine Linux che Windows.

Gli obbiettivi sembravano limitati a grandi università e uffici governativi, tanto che l’infezione pareva sotto controllo. E invece negli ultimi mesi le rilevazioni di Akamai (ex Guardicore Labs, gli scopritori) hanno segnato almeno 1500 server compromessi. E non solo il numero di server è 3 volte superiore all’ultima volta, ma il malware è stato ulteriormente sviluppato. Sempre il tutto in sintesi:

• aumento dei comandi disponibili, per usare anche scp e non solo netcat;
• uso di proxy per poter fare collegamenti SSH;
• l’uso di proxy cerca specificamente la porta 9050, della rete Tor, per mascherare ulteriormente le proprie connessioni;
• possibilità di infettare siti WordPress;
• evitare server con poche risorse (come RaspberryPi).

Non tutte le caratteristiche, benché presenti nel codice, sono state attivate. Ancora.
Ma c’è un ultimo giochino: forse perché consapevoli di essere monitorati, tra i nuovi comandi se ne trova uno solo per mostrare un’immagine simpatica.

Non è ancora chiaro chi siano gli autori, ma un indizio è data dalla diffusione, prevalentemente in Cina. L’unico altro indizio è l’indirizzo di un wallet di cryptovaluta legato anch’esso a gruppi cinesi di operatori di botnet – peraltro arrestati a Settembre scorso.

L’unico modo per proteggersi è quanto già detto l’altra volta: controllare ogni tanto le chiavi SSH autorizzate dei nostri account, per controllare che non ce ne siano di aliene. Magari, Ansible o altri strumenti automatici potranno esservi d’aiuto.

Marco Bonfiglio

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.