El descubrimiento de una nueva botnet es, siempre, una mala noticia. Pero en casos como el de FritzFrog, y por lo que podemos deducir al leer lo publicado por la firma de seguridad Guardiacore Labs, en este caso en particular hablamos de una amenaza muy seria, inusitadamente avanzada, detectada hace unos meses por los técnicos de la compañía y que, pese a ello, ha podido seguir operando «bajo el radar» todos estos meses.
Los técnicos de la empresa resumen FritzFrog en estos puntos:
- Malware basado en Golang: FritzFrog ejecuta un malware del tipo troyano desarrollado en Golang, modular, que divide su actividad en múltiples subprocesos y que, esto es muy importante, no emplea archivos, lo que le permite operar sin dejar rastro en el disco duro del sistema infectado.
- Objetivos: Parece dirigirse activamente a entidades gubernamentales, del sector educativo, el financiero y algunos más. FritzFrog emplea la fuerza bruta para intentar propagarse a decenas de millones de direcciones IP de oficinas gubernamentales, instituciones educativas, centros médicos, bancos y numerosas empresas de telecomunicaciones. Con dichos ataques ha conseguido infectar, que se hayan identificado, al menos 500 servidores, entre los que se encuentran los de algunas prestigiosas universidades de Europa y Estados Unidos, así como una compañía ferroviaria (no confundir con el ataque de REvil a ADIF de hace unas semanas).
- Sofisticación: FritzFrog es completamente propietario; su implementación P2P fue escrita desde cero, lo que nos indica que los actores responsables de la botnet son desarrolladores de software altamente profesionales o, como mínimo, que han cuentan con personal de este tipo, tanto en la fase inicial de la misma, como en su más que constante evolución (más adelante hablaremos de este punto).
Es interesante que se analice algunos de esos puntos, además de ampliarlos con más información que se extrae de la investigación de Guardiacore Tech. Sin duda, lo más destacable es la sofisticación de FritzFrog, que podemos resumir en dos aspectos clave: distribución P2P y no utilización de los discos duros de los sistemas afectados. El primer punto porque dificulta en gran medida la identificación de sus responsables. La ausencia de un servidor de comando y control impide, además, comprometer su funcionamiento con técnicas como DNS Sinkhole.
El segundo punto, la ausencia de archivos en disco es otra medida muy inteligente de los responsables de FritzFrog, dado que algunas soluciones de seguridad se centran en el análisis de los ficheros guardados en dicho soporte, no prestando tanta atención a lo que ocurre en memoria. Y es que, por norma general, lo común es que cuando un malware llega a un sistema, lo primero que haga sea depositar su payload en disco, y a partir de ahí empiece a trabajar. No es el caso, y demuestra que sus desarrolladores saben muy, muy bien lo que están haciendo.
Otro aspecto destacable de FritzFrog es que, como mencionaba anteriormente, está en constante evolución. Una vez detectada la red, y en el proceso de investigación de la misma, los técnicos de seguridad detectaron que se han empleado, como mínimo, 20 versiones distintas del malware desde el mes de enero. Hablamos de más de dos versiones por mes, que nos invitan a pensar que FritzFrog está evolucionando y mejorando de manera constante.
Para los ataques de fuerza bruta, FritzFrog se centra en servidores con SSH, probando una muy amplia lista de combinaciones de credenciales no seguras (un recordatorio más de lo importante que es proteger los accesos privilegiados). A este respecto, parece que las listas empleadas por esta botnet son más amplias de las vistas hasta ahora en otras redes de este tipo. Otra muestra más de la profesionalidad con la que estos cibercriminales han desarrollado y gestionan esta red.
Una vez instalada, la carga útil de FritzFrog puede ejecutar 30 comandos para lanzar scripts y para descargar bases de datos, registros y archivos, entre otras posibilidades. Para eludir el control de firewalls y otros elementos de seguridad, todas las comunicaciones son canalizadas a través de los accesos SSH (de ahí el interés de sus responsables en detectar credenciales inseguras de este tipo de cuentas en servidores.
Otro aspecto muy importante es que, al llegar a un sistema, FritzFrog añade una clave pública en el archivo de claves del servidor. De esta manera, aunque el administrador del sistema cambie la contraseña, este certificado actúa como una puerta trasera que, en combinación con la clave privada, en poder de los ciberdelincuentes, les permitirá seguir accediendo al servidor aunque ya no tengan las credenciales con las que lograron acceder en un primer momento.
