Le botnet FritzFrog, actif depuis plus de deux ans, a refait surface avec un taux d’infection alarmant, multiplié par dix en seulement un mois après avoir touché les systèmes de santé, d’éducation et gouvernementaux avec un serveur SSH exposé.
Découvert en août 2020, le malware est écrit en Golang et est considéré comme une menace sophistiquée qui repose sur un code personnalisé, s’exécute en mémoire et est décentralisée – peer-to-peer (P2P), il n’a donc pas besoin d’un centre serveur de gestion.
Des chercheurs de la société de sécurité Internet Akamai ont repéré une nouvelle version du malware FritzFrog, qui propose de nouvelles fonctions intéressantes, comme l’utilisation de la chaîne de proxy Tor.
La nouvelle variante de botnet montre également des indications que ses opérateurs se préparent à ajouter des fonctionnalités pour cibler les serveurs WordPress.
Problème de nouvelle génération
Akamai appelle FritzFrog un botnet de « nouvelle génération » car il combine des fonctionnalités qui le distinguent des autres menaces de la même catégorie.
Le logiciel malveillant est mieux équipé pour échapper à la détection et garder un profil bas grâce à l’utilisation d’un protocole P2P « entièrement propriétaire » pour les communications.
Il s’appuie sur un dictionnaire complet pour les attaques par force brute pour trouver les informations d’identification SSH, ce qui lui permet de compromettre un plus grand nombre d’appareils.
FritzFrog met constamment à jour la liste des cibles et les machines piratées sont constamment mises à jour et son système de distribution de nœuds garantit un nombre égal de cibles à chaque nœud pour maintenir l’équilibre du botnet.
Deuxième vague avec de nouvelles capacités
Le réseau mondial de capteurs d’Akamai a détecté 24 000 attaques, mais le botnet n’a fait jusqu’à présent que 1 500 victimes. La plupart des hôtes infectés se trouvent en Chine, mais parmi les systèmes compromis se trouvent un réseau de télévision européen, une entreprise de soins de santé russe et diverses universités d’Asie de l’Est.
Les acteurs ont mis en place une liste de filtrage pour ignorer les appareils à faible puissance tels que les cartes Raspberry Pi, tandis que le malware contient désormais du code qui jette les bases pour cibler les sites WordPress.
Considérant que le botnet est connu pour l’extraction de crypto-monnaie, cette fonction est un ajout curieux. Cependant, Akamai suppose que les acteurs ont trouvé d’autres voies de monétisation, telles que le déploiement de ransomwares ou des fuites de données. Actuellement, cette capacité est inactive car elle est en cours d’élaboration.
Les chercheurs notent que FritzFrog est constamment en développement, les bugs étant corrigés quotidiennement, parfois plusieurs fois par jour.
Une autre nouveauté dans le dernier échantillon de FritzFrog est le proxy des connexions SSH sortantes via Tor, obscurcissant la structure du réseau et limitant la visibilité des nœuds infectés au réseau de botnet. Bien que cette fonctionnalité semble complète, les développeurs ne l’ont pas encore activée.
Enfin, le système de copie (utilisé pour infecter les nouveaux systèmes) est désormais basé sur SCP (Security Copy Protocol), remplaçant le chat commande présente dans la version précédente.
Des indices pointent vers des opérateurs en Chine
À l’heure actuelle, les analystes des menaces d’Akamai n’ont pas d’attribution définitive pour l’opération de FritzFrog, mais les preuves pointent vers la Chine.
Étant donné que le logiciel malveillant intègre des composants de code uniques, certains peuvent être attribués à des référentiels GitHub uniques mis en place par des utilisateurs basés à Shanghai.
De plus, les adresses de portefeuille liées aux opérations minières de la deuxième campagne ont également été utilisées dans le botnet Mozi, dont il a finalement été confirmé qu’il provenait de Chine.
Enfin, environ 37 % de tous les nœuds actifs de FritzFrog sont situés en Chine, ce qui peut signifier que l’acteur opère à partir de là.
Stratégie de défense
FritzFrog cible tout appareil qui expose un serveur SSH, de sorte que les administrateurs des serveurs de centre de données, des instances cloud et des routeurs doivent rester vigilants.
Akamai partage les indicateurs suivants de FritzFrog en cours d’exécution sur un système :
- Exécution de processus nommés nginx, ifconfig, php-fpm, apache2 ou libexec, dont le fichier exécutable n’existe plus sur le système de fichiers
- Écoute sur le port 1234
- Le trafic TCP sur le port 5555 peut indiquer le trafic réseau vers le pool Monero
Les recommandations de sécurité d’Akamai sont les suivantes :
- Activer l’audit de connexion au système avec alerte
- Surveiller le fichier authorized_hosts sous Linux
- Configurer la liste d’autorisation explicite de connexion SSH
- Désactiver l’accès root SSH
- Activer la protection DNS basée sur le cloud avec des menaces et des applications commerciales non liées telles que l’extraction de pièces de monnaie configurées pour bloquer