Specjaliści z Guardicore Lab natrafili na bardzo interesujący botnet – FritzFrog – który wykorzystuje niezwykle zaawansowane środki w celu infekowania serwerów i włączania ich do sieci peer-to-peer. Chcesz dowiedzieć się więcej? Zapraszamy do lektury!
1. Botnet FritzFrog włamał się już na ponad 500 rządowych i korporacyjnych serwerów SSH
FritzFrog to botnet peer-to-peer (P2P) pozostający aktywny co najmniej od stycznia 2020r. Z pomocą technik takich jak m.in. atak brute force rozprzestrzenił się na dziesiątki milionów adresów IP, w tym należących do organów rządowych, banków, firm telekomunikacyjnych, centrów medycznych i instytucji edukacyjnych.
Mamy do czynienia z kolejnym zagrożeniem typu fileless. Po „wdarciu” się na serwer malware wykonuje wszystkie operacji w pamięci. W ten sposó atakujący są w stanie skutecznie uniknąć wczesnego wykrycia.
Po uruchomieniu FritzFrog rozpakowuje złośliwe elementy – pliki ifconfig i nginx – oraz konfiguruje środowisku w taki sposób aby monitorować port 1234, za którego pośrednictwem atakujący przekazują kolejne polecenia. Z uwagi na to, że taka komunikacja byłaby jednak łatwa do wykrycia, atakujący łączą się z przejętym urządzeniem poprzez SSH i uruchamiają klienta netcat.
Pierwsza komenda włącza zaatakowaną maszynę do sieci urządzeń znajdujących się już w rękach cyberprzestępców. Następne polecenia – szyfrowane z pomocą AES – umożliwiają dopisanie publicznego klucza SSH-RSA do pliku authorized_keys. W ten sposób przestępcy tworzą sobie dodatkowego backdoor’a. W celu monitorowania zasobów komputera ofiary, użycia procesora oraz monitorowania sieci uruchamiają oni również odpowiednie polecenia powłoki. Następnie malware może przystąpić do rozprzestrzeniania się za pomocą protokołu SSH.
Głównym celem FritzFrog jest kopanie kryptowalut. Jeśli aktywne procesy „niepotrzenie” zajmują zasoby procesora, złośliwe oprogramowanie może je zabić, aby zapewnić jak największą moc od wydobywania kryptowalut.
Co ciekawe, protokół P2P użyty do komunikacji nie jest oparty na żadnej istniejącej implementacji, takiej jak μTP. Może to sugerować, że atakującymi są wysoce wykwalifikowanymi programistami. Na ten moment są oni nieznani. Specjaliści jednak doszukali się już pewnych podobieństw pomiędzy FritzFrog a Rakos, botnetem odkrytym w 2016 roku.
2. Poważny błąd w urządzeniach bezprzewodowych zagraża bezpieczeństwu wszystkich kluczowych sektorów
Luka znajduje się w komponencie wykorzystywanym w milionach urządzeń dla branży motoryzacyjnej, energetycznej, telekomunikacyjnej i medycznej. Może ona umożliwić hackerom nie tylko przejęcie urządzenia ale uzyskanie dostępu do całej sieci wewnętrznej.
Problem dotyczy modułu Cinterion EHS8 M2M firmy Thales (dawniej od Gemalto, przejętej przez Thales w 2019 r.). Vendor potwierdził jednak, że błąd występuje również w wersjach/produktach BGS5, EHS5/6/8, PDS5/6/8, ELS61, ELS81, PLS62. Ponad 30 tys. firm wykorzystuje moduły Thales w procesie produkcji swojego sprzętu. Za ich pomocą łączą się ze sobą ponad 3 miliardy urządzeń – w ciągu jednego roku!
Cinterion EHS8 i pozostałe komponenty z tej samej linii produktów to wbudowane moduły, które zapewniają moc obliczeniową i bezpieczną komunikację M2M (machine-to-machine) za pośrednictwem bezprzewodowych połączeń mobilnych (2G, 3G, 4G). Przechowują one i uruchamiają kod Java. Producenci dodatkowo używają ich do hostowania plików operacyjnych i poufnych danych. Chodzi głównie o dane logowania do różnych usług sieciowych.
Gdzie tkwi problem…
Badacze odkryli metodę ominięcia zabezpieczeń chroniących pliki i kod operacyjny w module EHS8. EHS8 i inne produkty z jego linii posiadają mikroprocesor z wbudowanym interpreterem Java ME, pamięcią flash i interfejsami dla GSM, GPIO, ADC, dźwięku cyfrowego i analogowego, GPS, I2C, SPI i USB. Jeśli atakujący byłby w stanie kontrolować interfejs AT – polecenia AT to instrukcje sterujące modemem – ma on również bezpośrednią kontrolę nad modułem i może wydawać polecenia konfiguracyjne lub uzyskać dostęp do systemu plików pamięci flash. Chodzi o opcje ich odczyty, zapisu, usuwania oraz nadawania nowych nazw plików i katalogów.
Każda pamięć flash posiada tzw. bezpieczny obszar dla kodu Java, gdzie jest możliwy wyłącznie zapis operacji – zabraniając odczytu danych. Producenci OEM mogą używać tego sektora do przechowywania prywatnego kodu Java i poufnych plików (certyfikatów, kluczy prywatnych, baz danych aplikacji). Luka omija ograniczenia dla tego bezpiecznego obszaru, umożliwiając odczyt kodu Java działającego w systemie zarówno od producenta OEM, jak i Thalesa, ujawniając w ten sposób wszystkie znajdujące się tam dane.
Thales otrzymał dokładny raport opisujący lukę we wrześniu 2019r. W lutym 2020 r. wszyscy klienci otrzymali stosowne poprawki. Teraz w zależności od urządzenia i dostawcy są możliwe dwa modele aktualizacji. Pierwszy – over-the-air (OTA) – oraz kolejny – poprzez instalację z pamięci USB za pomocą interfejsu zarządzania urządzeniem.
3. Drovorub – nowe zagrożenie dla systemów Linux opracowane i wdrożone przez rosyjskie wojsko…
… takiego zdania są amerykańskie NSA i FBI. Zaledwie kilka dni temu – 15 sierpnia – obie agencje opublikowały wspólny alert bezpieczeństwa zawierający szczegółowe informacje o wcześniej nieznanym rosyjskim szkodliwym oprogramowaniu.
Autopsja nowego malware
Drovorub jest trochę niczym szwajcarski scyzoryk – tyle że służy do hackowania Linuksa. Paczka składa się z implantu połączonego z rootkitem modułu jądra, narzędzia do przesyłania plików, kolejnego odpowiadającego za przekierowywanie portów i ostatniego, które odpowiada za ponowne łączenie się z serwerem C&C. Wszystkie komponenty komunikują się za pośrednictwem JSON i WebSocket’ów.
Drovorub może stanowić poważne wyzwanie dla wielu specjalistów od bezpieczeństwa. Ukrywa on swoją obecność przed powszechnie stosowanymi narzędziami. Sieciowe systemy wykrywania włamań (NIDS) mają realną szansę zidentyfikować polecenia i komunikaty sterujące przekazywane między klientem Drovorub, agentem Drovorub a serwerem Drovorub. Korzystanie z rozwiązań do analizy lub zabezpieczania może dodatkowo dać wgląd w niektóre operacje – w tym wykrywanie funkcji rootkita. Jednak w tej sytuacji najlepszą strategią działania będzie wdrożenie zapobiegawczych środków zaradczych i to jak najszybciej. Będziemy się powtarzać, ale najlepsze co może zrobić Administrator to przeprowadzać na bieżąco aktualizacje systemów i łatać podatności. Ważne: upewnij się, że posiadasz wersję systemu Linux Kernel 3.7 lub nowszą. Tylko wtedy możesz w pełni wykorzystać ochronę przed podpisywaniem jądra.
4. Robak kopiący kryptowaluty wykrada przy okazji dane uwierzytelniające AWS
To już oficjalne. Wykryto pierwsze złośliwe oprogramowanie do kopania kryptowalut, które jest również w stanie wykradać z zainfekowanych maszyn dane uwierzytelniające AWS.
Szkodliwe oprogramowanie – łączone z grupą cyberprzestępczą TeamTNT – atakuje instalacje Docker’a. Atakujący skanują Internet w poszukiwaniu systemów, które zostały nieprawidłowo skonfigurowane lub których administratorzy pozostawili dostęp do API nie zabezpieczony hasłem. Zwykle przestępcy wykorzystują API do wtargnięcia wewnątrz systemu. Następnie wdrażają serwery wewnątrz instalacji Dockera, na których uruchamiają złośliwe oprogramowanie do przeprowadzania ataków DDoS i kopanie kryptowalut.
Nic niezwykłego, prawda? Jednak grupa TeamTNT w ostatnim czasie rozszerzyła ataki również na instalacje Kubernetes. Przestępcy dodali również nową funkcję, która skanuje zainfekowane serwery w poszukiwaniu poświadczeń Amazon Web Services. Jeśli zainfekowane systemy Docker lub Kubernetes działa na infrastrukturze AWS, grupa TeamTNT skanuje maszynę w poszukiwaniu plików ~/.aws/credentials and ~/.aws/config, które następnie kopiuje i przesyła na swoje serwery.
Oba pliki nie są w żaden sposób szyfrowane. Poświadczenia oraz szczegóły konfiguracji głównego konta i infrastruktury AWS są przechowywanie w postaci zwykłego tekstu.
Na ten moment specjaliści są zdania, że atakujący nie wykorzystali jeszcze w żaden sposób wykradzionych danych. Ale nie oszukujmy się, to tylko kwestia czasu, kiedy wykonają oni kolejny krok.