FritzFrog: Ausgeklügeltes P2P-Botnetz infiziert hunderte Server

Sicherheitsforscher sind einem der bisher wohl ausgeklügelsten und größten Botnetze auf die Spur gekommen. Die Infrastruktur besteht aus gekaperten Servern und lässt sich selbst von deren Administratoren nur schwer entdecken und im Ganzen auch kaum abschalten.
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Warnung, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Attack, Ransom, Hacks, Crime, Viren, Gehackt, schloss, Schädling, Russische Hacker, China Hacker, Adware, Security Report, Security Bulletin, Promi-Hacker, Hinweis, Achtung, Attantion, Warning, Warn, Kutte, Umhang
Entdeckt wurde das Botnetz von den Guardicore Labs, die es auf den Namen "FritzFrog" tauften. Anders als die meisten anderen Netzwerke dieser Art entstammt der Trojaner, der Systeme in die Infrastruktur eingliedert, nicht aus einem der verschiedenen Exploit-Baukästen, wie sie auf dem Schwarzmarkt leicht zu bekommen sind. Vielmehr wurde der Schadcode von Grund auf neu für diese Aufgabe entwickelt. Weiterhin pflegen ihn die Betreiber intensiv und seit Januar wurden schon 20 neue Versionen in den Einsatz geschickt.

Der Trojaner nistet sich auf den befallenen Rechnern ausschließlich im Arbeitsspeicher ein und hinterlässt so auf den Festspeichern keine Spuren, die von aufmerksamen Administratoren und Scannern mehr oder weniger leicht zu entdecken wären. Die Infektionen erfolgen über Schwachstellen in SSH-Servern, die auf den meisten Geräten aktiv sind, da sie für den administrativen Zugriff benötigt werden.

Abschaltung ist schwer

Das Botnetz selbst arbeitet auf Basis eines Peer-to-Peer-Konzepts. Passend signierte Anweisungen von Seiten der Betreiber werden also von Knoten zu Knoten weitergereicht. Da so der zentrale Kontroll-Server wegfällt, ist es schwieriger, das gesamte Botnetz abzuschalten. Möglich wird dies im Grunde nur, wenn es gelingt, von Außen selbst Befehle einzuschleusen. In Teilen ist dies auch schon gelungen.

Die Sicherheitsforscher haben bisher rund 500 Server ausfindig gemacht, die nachweislich infiziert sind. Wie groß die Dunkelziffer ist, lässt sich kaum sagen. Die meisten betroffenen Systeme stehen laut den bisherigen Erkenntnissen an Universitäten in den USA und Europa, aber auch bei einem Eisenbahn-Unternehmen. Die Infrastruktur ist in der Lage, eine ganze Reihe von Befehlen und Skripten auszuführen, so dass sie sich zu verschiedenen Zwecken einsetzen lässt.

Siehe auch:

Infografik: Was ist ein BotnetzWas ist ein Botnetz
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!