lunes, 19 de octubre de 2020

La botnet IPStorm tiene más de 9000 dispositivos

Los expertos de Bitdefender dieron una descripción detallada del trabajo de la botnet P2P Interplanetary Storm (también conocida como IPStorm), que utiliza dispositivos infectados como proxy.

Según los investigadores, la botnet incluye más de 9.000 hosts (según otras fuentes, el número de dispositivos infectados  supera los 13.500 ), la inmensa mayoría de los cuales ejecutan Android y alrededor del uno por ciento ejecutan Linux y Darwin. Según los investigadores, se trata de varios enrutadores, NAS, receptores UHD, placas multifuncionales (por ejemplo, Raspberry Pi) y otros dispositivos de IoT. La mayoría de los dispositivos infectados se encuentran en Hong Kong, Corea del Sur y Taiwán.

Los investigadores escriben que los nodos especializados que forman parte de la infraestructura de control del malware pueden adivinar el propósito de la botnet:

  • un servidor proxy que hace ping a otros nodos para confirmar su disponibilidad;
  • un programa de verificación de proxy que se conecta al servidor proxy del bot;
  • un gerente al que se le dan órdenes de escaneo y fuerza bruta;
  • una interfaz de backend responsable de alojar la API web;
  • un nodo que utiliza claves criptográficas para autenticar otros dispositivos y firmar mensajes autorizados;
  • nodo utilizado para el desarrollo.

En total, esto garantiza verificar la disponibilidad de los nodos, conectarse a un proxy, alojar una API web, firmar mensajes autorizados e incluso probar el malware en la etapa de desarrollo, dicen los investigadores.

"Todo esto sugiere que la botnet se está utilizando como una red proxy, probablemente ofrecida como un servicio de anonimización", se lee en el informe de Bitdefender.

Interplanetary Storm se infecta mediante el escaneo SSH y la adivinación de contraseñas débiles. El malware en sí está escrito en el lenguaje Go, y el informe enfatiza que sus funciones principales fueron escritas desde cero y no tomadas prestadas de otras botnets, como suele ser el caso. En total, los investigadores encontraron más de 100 cambios en el código de malware, es decir, el desarrollo de Interplanetary Storm está en pleno apogeo.

El malware integra la implementación de los protocolos de código abierto NTP, UPnP y SOCKS5, así como la biblioteca lib2p para implementar la funcionalidad peer-to-peer. El malware también utiliza una pila de red basada en lib2p para interactuar con IPFS.

Esquema de Interplanetary Storm

“En comparación con otros programas maliciosos de Go que hemos analizado en el pasado, IPStorm se destaca por su diseño complejo de interacciones de módulos y la forma en que utiliza las construcciones libp2p. Está claro que el atacante detrás de esta botnet tiene un buen dominio de Go ”, resumen los expertos.

Fuente: https://xakep.ru/

No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes