Hackerangriff Neuartiges Botnetzwerk „FritzFrog“ befällt zahlreiche Server

FritzFrog ist ein neuartiges Botnetz, das bereits mehrere hundert Angriffe weltweit durchführen konnte. Wer hinter den Angriffen steckt, ist derzeit noch völlig unklar.

Christian Stede
Teilen
Error-Meldung auf einem Bildschirm

Beitragsbild: Shutterstock

Der israelische IT-, Cloud- und Sicherheitsdienstleister Guardicore hat ein neues Botnetzwerk namens FritzFrog entdeckt. Dabei soll es sich um ein hochentwickeltes P2P-Botnetz handeln, welches Attacken auf SSH-Server ausübt. SSH-Server sind der mit Abstand am meisten verbreitete Servertyp.

Die Funktionsweise von FritzFrog ist nicht mit der anderer P2P-Botnets zu vergleichen, da es ohne Dateien auskommt. Die Payloads werden nur im Speicher gesammelt und ausgeführt, wie die Experten von Guardicore feststellen konnten. Zudem greift FritzFrog auf ein eigenes, proprietäres P2P-Protokoll zurück. Die Malware ist in der Google-Programmiersprache Golang geschrieben. Es gibt laut Guardicore überhaupt keinen Zweifel daran, dass hinter FritzFrog ein Kollektiv „hochprofessioneller Softwareentwickler“ steckt.

Im Falle eines Angriffs bleiben keine Spuren auf der Festplatte zurück. FritzFrog kreiert eine Backdoor in Form eines öffentlichen SSH-Schlüssels. Dadurch haben Angreifer ständigen Zugriff auf die Rechner der Opfer. Seit Beginn der Kampagne haben die Experten bereits 20 verschiedene Versionen der ausführbaren Malware identifiziert. Zu den Geschädigten gehören mittlerweile mehr als 500 Server. Infiziert wurden dabei Rechner von namhaften Universitäten sowie einer Eisenbahngesellschaft. Auch Server von Regierungsbehörden, Finanzinstituten, medizinischen Zentren und zahlreichen Telekommunikationsunternehmen waren Ziel der Angriffe. Die meisten befallenen Nodes liegen in den USA, China und Südkorea. Aber auch Indien und Europa sind betroffen.

Viele Router geben SSH-Daten preis

Was kann man tun, um sich gegen einen Befall von FritzFrog zu schützen? Um zu erkennen, ob der Server bereits befallen ist, hat Guardicore ein spezielles Script zur Verfügung gestellt.  Eine Bedrohung für die Serversicherheit stellen im Falle von FritzFrog wie so oft unsichere Passwörter dar. Guardicore rät daher zur Verwendung von öffentlichen Schlüsseln. Router und IoT-Geräte machen den SSH-Verkehr oft von außen lesbar, was für FritzFrog ein gefundenes Fressen ist. Daher sollte man ihren SSH-Zugriff deaktivieren, wenn man ihn nicht unbedingt benötigt. Oftmals hilft auch eine Änderung des SSH-Ports.

Angriffe durch Botnetzwerke kommen immer mal wieder vor. Nicht selten geht die Anzahl der befallenen Systeme dabei in die Hunderttausende. Wer hinter dem neuartigen FritzFrog steckt, ist derzeit noch völlig unklar. Dass die Kommandos von jedem Knoten aus geschickt werden können, macht eine Rückverfolgung extrem schwierig. Laut Guardicore ist es auch mit keiner bereits bekannten Malware vergleichbar. Höchstens noch mit Rakos, einem P2P-Botnet, das ebenfalls in Golang geschrieben und 2016 von ESET analysiert wurde.

Du willst Dai (DAI) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Dai (DAI) kaufen kannst.
Dai kaufen