Hackerangriff Neuartiges Botnetzwerk „FritzFrog“ befällt zahlreiche Server

Christian Stede

von Christian Stede

Am · Lesezeit: 2 Minuten

Christian Stede

Christian ist freiberuflicher Journalist. Er ist davon überzeugt, dass die Blockchain-Technologie ein noch ungeahntes Umweltschutz- und Nachhaltigkeitspotenzial bietet.

Teilen
Error-Meldung auf einem Bildschirm

Quelle: Shutterstock

Jetzt anhören
BTC10,433.17 $ 0.44%

FritzFrog ist ein neuartiges Botnetz, das bereits mehrere hundert Angriffe weltweit durchführen konnte. Wer hinter den Angriffen steckt, ist derzeit noch völlig unklar.

Der israelische IT-, Cloud- und Sicherheitsdienstleister Guardicore hat ein neues Botnetzwerk namens FritzFrog entdeckt. Dabei soll es sich um ein hochentwickeltes P2P-Botnetz handeln, welches Attacken auf SSH-Server ausübt. SSH-Server sind der mit Abstand am meisten verbreitete Servertyp.

Die Funktionsweise von FritzFrog ist nicht mit der anderer P2P-Botnets zu vergleichen, da es ohne Dateien auskommt. Die Payloads werden nur im Speicher gesammelt und ausgeführt, wie die Experten von Guardicore feststellen konnten. Zudem greift FritzFrog auf ein eigenes, proprietäres P2P-Protokoll zurück. Die Malware ist in der Google-Programmiersprache Golang geschrieben. Es gibt laut Guardicore überhaupt keinen Zweifel daran, dass hinter FritzFrog ein Kollektiv „hochprofessioneller Softwareentwickler“ steckt.

Im Falle eines Angriffs bleiben keine Spuren auf der Festplatte zurück. FritzFrog kreiert eine Backdoor in Form eines öffentlichen SSH-Schlüssels. Dadurch haben Angreifer ständigen Zugriff auf die Rechner der Opfer. Seit Beginn der Kampagne haben die Experten bereits 20 verschiedene Versionen der ausführbaren Malware identifiziert. Zu den Geschädigten gehören mittlerweile mehr als 500 Server. Infiziert wurden dabei Rechner von namhaften Universitäten sowie einer Eisenbahngesellschaft. Auch Server von Regierungsbehörden, Finanzinstituten, medizinischen Zentren und zahlreichen Telekommunikationsunternehmen waren Ziel der Angriffe. Die meisten befallenen Nodes liegen in den USA, China und Südkorea. Aber auch Indien und Europa sind betroffen.

Viele Router geben SSH-Daten preis


Was kann man tun, um sich gegen einen Befall von FritzFrog zu schützen? Um zu erkennen, ob der Server bereits befallen ist, hat Guardicore ein spezielles Script zur Verfügung gestellt.  Eine Bedrohung für die Serversicherheit stellen im Falle von FritzFrog wie so oft unsichere Passwörter dar. Guardicore rät daher zur Verwendung von öffentlichen Schlüsseln. Router und IoT-Geräte machen den SSH-Verkehr oft von außen lesbar, was für FritzFrog ein gefundenes Fressen ist. Daher sollte man ihren SSH-Zugriff deaktivieren, wenn man ihn nicht unbedingt benötigt. Oftmals hilft auch eine Änderung des SSH-Ports.

Angriffe durch Botnetzwerke kommen immer mal wieder vor. Nicht selten geht die Anzahl der befallenen Systeme dabei in die Hunderttausende. Wer hinter dem neuartigen FritzFrog steckt, ist derzeit noch völlig unklar. Dass die Kommandos von jedem Knoten aus geschickt werden können, macht eine Rückverfolgung extrem schwierig. Laut Guardicore ist es auch mit keiner bereits bekannten Malware vergleichbar. Höchstens noch mit Rakos, einem P2P-Botnet, das ebenfalls in Golang geschrieben und 2016 von ESET analysiert wurde.


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise
BTC-ACADEMY

Kryptowährungen einfach kaufen und verkaufen

Ein Bankkonto, Krypto-Wallets und Trading vereint

  • Einfach, sicher und zuverlässig
  • Kontoeröffnung in nur 5 Minuten
  • Nur 1% Handelsgebühr
  • Made in Germany