Botnet P2P masowo atakuje sektor zdrowia i edukacji

Aspekty techniczne

Po zidentyfikowaniu maszyny docelowej złośliwe oprogramowanie wykonuje szereg zadań, które obejmują SSH brute-force, infekowanie hosta złośliwymi ładunkami po udanym włamaniu oraz dodanie ofiary do sieci P2P.

Aby unikać wykrycia, złośliwe oprogramowanie działa jako ifconfig i NGINX i zaczyna nasłuchiwać na porcie 1234, aby otrzymywać dalsze polecenia do wykonania, w tym te służące do synchronizacji ofiary z bazą danych sieci równorzędnych i celów brute-force. Same polecenia są przesyłane do złośliwego oprogramowania za pomocą serii pętli zaprojektowanych w celu maskowania działań. Węzeł atakujący w botnecie najpierw łączy się z konkretną ofiarą przez SSH, a następnie używa narzędzia NETCAT do nawiązania połączenia ze zdalnym serwerem. Widzimy to na poniższym obrazku.

Co więcej, pliki ładunku są wymieniane między węzłami w stylu BitTorrent, wykorzystując segmentowe podejście do przesyłania plików w celu wysyłania blobów danych. Kiedy węzeł A chce otrzymać plik od swojego równorzędnego węzła B, może zapytać węzeł B, które obiekty BLOB są w jego posiadaniu za pomocą polecenia getblobstats. Następnie węzeł A może uzyskać określony obiekt BLOB przez jego hash, za pomocą polecenia P2P getbin lub przez HTTP, z adresem URL „https://node_IP:1234/blob_hash.” Gdy węzeł A ma wszystkie potrzebne obiekty, składa plik za pomocą specjalnego modułu o nazwie Assemble i uruchamia go.

Oprócz szyfrowania i kodowania odpowiedzi na polecenia, złośliwe oprogramowanie uruchamia osobny proces o nazwie „libexec”, aby wydobywać kryptowalutę Monero obciążając CPU. Pozostawia też tylne drzwi dla przyszłego dostępu do ofiary poprzez dodanie klucza publicznego do pliku „authorized_keys” SSH, aby umożliwić logowanie bez konieczności ponownego polegania na haśle.

FritzFrog wyróżnia się tym, że używany protokół P2P jest całkowicie zastrzeżony. Podczas gdy wcześniejsze wersje procesu złośliwego oprogramowania były maskowane jako „ifconfig” i „nginx”, ostatnie warianty próbują ukryć swoje działania pod nazwami „apache2” i „php-fpm”.

Inne nowe cechy wbudowane w złośliwe oprogramowanie obejmują wykorzystanie protokołu bezpiecznego kopiowania (SCP) do kopiowania się na zdalny serwer, tworzenie łańcuchów proxy Tor w celu maskowania wychodzących połączeń SSH, infrastrukturę do śledzenia serwerów WordPress pod kątem kolejnych ataków oraz listę niedozwolonych urządzeń do infekcji, takich jak na przykład Raspberry PI.

Podsumowanie

Jak widać powyżej, ostatnie duże infekcje miały miejsce zarówno w Chinach, jak i w Europie czy Stanach Zjednoczonych. Nie można więc określić konkretnego celu geograficznego botnetu.

Włączenie funkcji SCP mogło również dać pierwszą wskazówkę co do pochodzenia złośliwego oprogramowania. Akamai zwrócił uwagę, że biblioteka napisana w Go została udostępniona w serwisie GitHub przez użytkownika znajdującego się w chińskim mieście Szanghaj.

Druga informacja łącząca szkodliwe oprogramowanie z Chinami wynika z faktu, że jeden z nowych adresów portfela wykorzystywanych do kopania kryptowalut był również wykorzystywany w ramach kampanii botnetowej Mozi, której operatorzy zostali aresztowani w Chinach we wrześniu ubiegłego roku.

Te dowody, choć nie ostateczne, prowadzą nas do przekonania, że istnieje możliwy związek z aktorem działającym w Chinach lub aktorem udającym Chińczyka.