Децентрализованный ботнет инфицирует серверы SSH по всему миру
Guardicore Labs сообщила о ранее неизвестном ботнете, который использует необычно продвинутые техники для скрытного заражения миллионов серверов и объединения их в одноранговую сеть.
Написанное полностью с нуля программное обеспечение ботнета распределяет функции администрирования сети между инфицированными узлами. Отсутствие централизованного управляющего сервера затрудняет обнаружение таких ботнетов и их отключение.
Ботнет, получивший название FritzFrog, имеет и ряд других продвинутых особенностей:
- Полезная информация базируется в памяти и никогда не попадает на диски взломанных серверов.
- С января выпущено не менее двух десятков версий этого ПО.
- Внимание уделяется исключительно заражению защищенной оболочки или SSH, серверов, которые сетевые администраторы используют для управления машинами.
- Имеется возможность создавать "черный ход" в инфицированных серверах, помещая свой публичный ключ шифрования в файл авторизованных ключей сервера.
- Более представительный, чем у других ботнетов список пар логин/пароль, используемый для взлома аккаунтов, защищенных слабыми паролями без криптографических сертификатов.
Такая неординарная функциональность программы свидетельствует о том, что оператор приложил значительные усилия для создания эффективного ботнета. Постоянно обновляемая кодовая база и базирующиеся в памяти данные усложнять задачу обнаружения вредоносного ПО антивирусами и другим средствам защиты конечных точек. Децентрализованность FritzFrog не только мешает правоохранительным органам отключить ботнет, но и скрывает информацию об организаторах атак.
По информации Guardicore Labs, с января ботнет проник на 500 серверов, принадлежащих "известным университетам США и Европы, а также железнодорожной компании".
Опубликованный вчера отчет также содержит ссылки на индикаторы того, что сервер взломан, и на программу для обнаружения инфицированных машин.
