Botnet w roli anonimizującego serwera do wynajęcia

Malware InterPlanetary Storm wzbudza w ostatnim czasie niepokój wśród ekspertów od cyberbezpieczeństwa. Badacze Bitdefender zajęli się analizą tego złośliwego oprogramowania i odkryli jego nowe, wcześniej nieznane właściwości.

Pierwszy wariant Interplanetary Storm, wymierzony w system operacyjny Windows, odkryto w maju 2019 roku. W kolejnych miesiącach pojawiły się wersje infekujące systemy Linux, Darwin oraz Android. Malware rozprzestrzenia się w bardzo szybkim tempie – w tym miesiącu zainfekował ponad 13 tysięcy maszyn, z czego około 60 proc. w Azji. Jak do tej pory w Polsce odnotowano jedynie kilka przypadków jego występowania. Interplanetary Storm tworzy na zainfekowanych urządzeniach botneta. Badacze szukali odpowiedzi na pytanie jaki cel przyświeca cyberprzestępcom posługującym się tym malwarem i wysnuwali różne koncepcje – ataki DDoS, kradzież danych czy wysyłanie spamu. Natomiast specjaliści Bitdefender po wnikliwej analizie kodu doszli do wniosku, iż botnet pełni rolę anonimizującego serwera proxy i może być wynajmowany w modelu subskrypcyjnym. Tego typu serwery funkcjonują jako przekaźnik pomiędzy użytkownikiem oraz serwisem internetowym, ukrywają adres IP użytkownika, a także usuwają niektóre elementy identyfikujące (cookies, identyfikator przeglądarki itp).

Bitdefeneder już w ubiegłym roku przeprowadził wnikliwe badania Interplanetary Storm. Malware opracowano w języku Golang, co jest nowym trendem w cyberprzestępczym świecie. Liczba programów bazujących na Golang wzrosła w ostatnich dwóch latach. Emptiness, Liquorbot, Kaiji i Fritzfrog to przykłady botów Golang, które atakują komputery z systemem Linux i używają SSH jako wektora ataku. Pewne cechy tego języka, takie jak przenośność i bogata baza kodu, sprawiają, że ​​jest on pożądany przez autorów złośliwego oprogramowania. Niektóre z tych rodzin szkodliwego oprogramowania wzorują się na „tradycyjnych” botnetach Linuksa, przepisując je w Go, podczas gdy inne bazują na oryginalnym, własnym projekcie. IPStorm został napisany od podstaw i należy do tej drugiej kategorii. Interplanetary Storm posiada złożoną i modułową infrastrukturę zaprojektowaną do poszukiwania i naruszania nowych celów, synchronizowania nowych wersji złośliwego oprogramowania, uruchamiania dowolne polecenia na zainfekowanej maszynie i komunikuje się z serwerem C2 wykorzystywanym przez napastników do utrzymywania komunikacji i sterowania zainfekowanymi przez malware komputerami.