La nueva botnet P2P infecta servidores SSH en todo el mundo
Caricatura de una computadora de escritorio bajo ataque de virus.

Los investigadores han descubierto lo que creen que es una botnet no descubierta previamente que utiliza medidas extraordinariamente avanzadas para apuntar en secreto a millones de servidores en todo el mundo.

La botnet utiliza software patentado escrito desde cero para infectar servidores y atraparlos en una red de igual a igual, informaron investigadores de la firma de seguridad Guardicore Labs el miércoles. Las botnets P2P distribuyen su administración entre muchos nodos infectados, en lugar de depender de un servidor de control para enviar comandos y recibir datos robados. Sin un servidor centralizado, las botnets suelen ser más difíciles de detectar y más difíciles de cerrar.

«Lo intrigante de esta campaña fue que, a primera vista, no había ningún servidor de comando y control (CNC) conectado», escribió Ophir Harpaz, investigador de Guardicore Labs. “Fue justo después del comienzo de la investigación que comprendimos que no había CNC”.

La botnet, que los investigadores de Guardicore Labs llamaron FritzFrog, tiene otras características avanzadas, que incluyen:

  • Cargas de memoria que nunca tocan discos en servidores infectados.
  • Al menos 20 versiones del software binario desde enero.
  • Un enfoque único en la infección de Secure Shell, o SSH, servidores que los administradores de red utilizan para administrar las máquinas.
  • La capacidad de crear una puerta trasera en los servidores infectados.
  • Una lista de combinaciones de credenciales de inicio de sesión utilizadas para descubrir contraseñas de inicio de sesión débiles que es más «extensa» que las de las botnets vistas anteriormente.

Índice de contenidos

Ponlo todo junto y …

Juntos, los atributos indican un operador superior al promedio que ha invertido recursos considerables para construir una botnet que sea efectiva, difícil de detectar y resistente a las caídas. La nueva base de código, combinada con versiones y cargas útiles en rápida evolución que se ejecutan solo en la memoria, dificulta que los antivirus y otras protecciones de terminales detecten malware.

El diseño punto a punto dificulta que los investigadores o los agentes del orden cierren la operación. El medio típico de eliminación es tomar el control del servidor de comando y control. Con los servidores infectados con FritzFrog ejerciendo un control descentralizado entre sí, esta medida tradicional no funciona. Peer-to-peer también hace que sea imposible escanear servidores de control y dominios en busca de pistas sobre los atacantes.

Harpaz dijo que los investigadores de la compañía descubrieron la botnet por primera vez en enero. Desde entonces, dijo, se ha dirigido a decenas de millones de direcciones IP que pertenecen a agencias gubernamentales, bancos, empresas de telecomunicaciones y universidades. La botnet ha logrado infectar hasta el momento 500 servidores pertenecientes a «reconocidas universidades de Estados Unidos y Europa, y una empresa ferroviaria».

Completar

Una vez instalada, la carga útil maliciosa puede ejecutar 30 comandos, incluidos los que ejecutan scripts y descargan bases de datos, registros o archivos. Para evitar firewalls y protección de endpoints, los atacantes canalizan comandos a través de SSH a un cliente netcat en la máquina infectada. Netcat luego se conecta a un «servidor de malware». (La mención de este servidor sugiere que la estructura de un extremo a otro de FritzFrog puede no ser absoluta. O es posible que el «servidor de malware» esté alojado en una de las máquinas infectadas y no en un servidor dedicado. Los investigadores de Guardicore Labs no está disponible de inmediato para aclaraciones).

Para infiltrarse y analizar la botnet, los investigadores desarrollaron un programa que intercambia claves de cifrado que la botnet utiliza para enviar comandos y recibir datos.

“Este programa, al que llamamos frogger, nos permitió investigar la naturaleza y el alcance de la red”, escribió Harpaz. “Con Frogger, también pudimos ingresar a la red ‘inyectando’ nuestros propios nodos y participando en el tráfico P2P continuo”.

Antes de reiniciar las máquinas infectadas, FritzFrog instala una clave de cifrado pública en el archivo «claves_autorizadas» del servidor. El certificado actúa como una puerta trasera en caso de que se cambie la contraseña débil.

La conclusión de los hallazgos del miércoles es que los administradores que no protegen los servidores SSH con una contraseña segura y un certificado criptográfico ya pueden estar infectados con malware que es difícil de detectar para los ojos inexpertos. El informe tiene un enlace a indicadores de compromiso y un programa que puede detectar máquinas infectadas.