Circa 9.000 dispositivi, per lo più con Android, ma anche con i sistemi operativi Linux e Darwin, sono stati raggruppati in Interplanetary Storm, il nome dato a una botnet il cui scopo principale è creare un servizio proxy a scopo di lucro, probabilmente per l'uso anonimo di Internet.
La scoperta si basa su diverse prove raccolte dai ricercatori del fornitore di sicurezza Bitdefender. La prova principale è una serie di sei nodi specializzati che fanno parte dell'infrastruttura di gestione. Includono un:
- backend proxy che esegue il ping di altri nodi per dimostrare la sua disponibilità
- controllo proxy che si connette a un proxy bot
- manager che emette comandi di scansione e forzatura bruta
- interfaccia di backend responsabile dell'hosting di un'API Web
- nodo che utilizza chiavi di crittografia per autenticare altri dispositivi e firmare messaggi autorizzati
- nodo di sviluppo utilizzato per scopi di sviluppo
Tenendolo sul basso-basso
Insieme, questi nodi "sono responsabili del controllo della disponibilità dei nodi, della connessione ai nodi proxy, dell'hosting del servizio API Web, della firma dei messaggi autorizzati e persino del test del malware nella sua fase di sviluppo", hanno scritto i ricercatori di Bitdefender in un rapporto pubblicato giovedì. “Insieme ad altre scelte di sviluppo, questo ci porta a credere che la botnet sia utilizzata come rete proxy, potenzialmente offerta come servizio di anonimizzazione”.
Non è la prima volta che i ricercatori trovano botnet utilizzate per fornire reti per l'utilizzo di Internet quasi anonimo. Il giornalista della sicurezza Brian Krebs ne ha parlato
nel corso degli anni fin dal 2008. Anche vari ricercatori li hanno documentati. Una cosa che Bitdefender ha trovato interessante di questa volta è che il proxy anonimo veniva pubblicizzato su clearnet piuttosto che nei forum darknet.
Annuncio pubblicitario
Le macchine vengono infettate dalla scansione di server SSH, o shell sicura, e quando vengono trovate tentano di indovinare password deboli. Il malware scritto nel linguaggio di programmazione Go implementa quindi una botnet con un design originale, il che significa che la sua funzionalità principale è scritta da zero e non prende in prestito da botnet viste in precedenza.
Il codice integra implementazioni open source di protocolli inclusi NTP, UPnP e SOCKS5. Il codice utilizza anche la libreria lib2p per la funzionalità peer-to-peer. Il codice utilizza inoltre uno stack di rete basato su lib2p per interagire con l'Interplanetary File System, che è spesso abbreviato in IPFS.
"Rispetto ad altri malware Golang che abbiamo analizzato in passato, IPStorm è notevole nel suo design complesso grazie all'interazione dei suoi moduli e al modo in cui utilizza i costrutti di libp2p", afferma il rapporto di giovedì utilizzando l'abbreviazione di Interplanetary Storm. "È chiaro che l'attore delle minacce dietro la botnet è abile nel Golang".
Una volta eseguito, il codice inizializza un nodo IPFS che avvia una serie di thread leggeri, noti come Goroutine, che a loro volta implementano ciascuna delle subroutine principali. Tra le altre cose, genera una coppia di chiavi RSA a 2048 bit che appartiene al nodo IPFS e viene utilizzata per identificarla in modo univoco.
Dai bootstrap
Una volta avviato un processo di bootstrap, il nodo è ora raggiungibile da altri nodi sulla rete IPFS. Diversi nodi utilizzano tutti i componenti di lib2p per comunicare. Oltre a comunicare per il servizio proxy anonimo, i nodi interagiscono anche tra loro per condividere i binari malware utilizzati per l'aggiornamento. Ad oggi, Bitdefender ha contato più di 100 revisioni del codice, un'indicazione che IPstorm rimane attivo e riceve una solida attenzione di programmazione.
Bitdefender ha stimato che esistono circa 9.000 dispositivi unici, la stragrande maggioranza dei quali sono dispositivi Android. Solo l'1% circa dei dispositivi esegue Linux e si ritiene che solo una macchina esegua Darwin. Sulla base degli indizi raccolti dalla versione del sistema operativo e, quando disponibili, del nome host e dei nomi utente, l'azienda di sicurezza ha identificato modelli specifici di router, dispositivi NAS, ricevitori TV e circuiti stampati e microcontrollori multiuso (ad esempio, Raspberry Pis) che probabilmente compongono la botnet.
Molti criminali utilizzano proxy anonimi per trasmettere dati illegali, come pornografia infantile, minacce e attacchi di swatting. Il rapporto di giovedì è un buon promemoria del perché è importante cambiare sempre le password predefinite durante la configurazione dei dispositivi Internet delle cose e, quando possibile, disabilitare anche l'accesso amministrativo remoto. Il costo di non farlo potrebbe non essere solo la perdita di larghezza di banda e l'aumento del consumo energetico, ma anche il contenuto criminale che potrebbe essere ricondotto alla rete.
