A FritzFrog tem várias características avançadas, que não são comuns nas botnets, o que leva a Guardicore Labs a concluir que houve um grande investimento no seu desenvolvimento. Para começar, a rede tira partido de software desenvolvido de raiz para infetar servidores e ‘colocá-los’ numa rede peer-to-peer distribuída. Esta abordagem descentralizada e sem um servidor de centro de comando torna mais difícil a deteção e eventual desligamento por parte das autoridades.
Além desta estratégia sem comando central, a FritzFrog tem cargas de dados na memória, o que faz com que não precise de tocar nos discos dos servidores infetados, já conta com mais de 20 códigos binários escritos desde janeiro, foca-se em servidores que os administradores usam para gerir máquinas, constrói backdoors nos servidores infetados e emprega uma lista de combinações de credenciais de passwords fracas mais extensa do que o habitual.
A nova base de código, aliada à rápida mudança e ao não gravar nada nos discos, tornam difícil a implementação de medidas de proteção por parte dos criadores de antivírus, explica a Wired. Tipicamente, as autoridades descobrem o centro de comando destas botnets e desligam-no para eliminar a ameaça, mas a abordagem descentralizada na FritzFrog inviabiliza este mecanismo.
Ophir Harpaz, da Guardicore Labs, estima que as primeiras máquinas tenham sido infetadas em janeiro e, desde aí, já tenham sido alvejados dezenas de milhões de endereços IP de agências governamentais, operadoras de telecomunicações e universidades na Europa e EUA. No total, já foram infetados mais de 500 servidores, com o alcance potencial de haver milhares de máquinas comprometidas neste momento. O código malicioso consegue executar 30 comandos, incluindo correr scripts e descarregar bases de dados, de logs ou ficheiros.
Os investigadores de segurança conseguiram infiltrar-se nesta rede através de um programa que troca as chaves de encriptação usadas para enviar comandos e receber dados. O programa Frogger permitiu aos especialistas introduzir os seus próprios nós na rede de bots.
As recomendações de segurança passam por proteger os servidores SSH com chaves fortes e certificado encriptado.
