Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который малварь использовала для связи с зараженными системами и передачи команд.
Кроме того, IPStorm оказался написан на языке Go, и хотя сейчас малварью на этом языке никого не удивить, в 2019 году подобное было распространено не так широко, что делало IPStorm довольно экзотичным и интересным образцом вредоносного ПО.
Интересно, что в отчете Anomali от 2019 года не объяснялось, как распространяется малварь. Тогда некоторые исследователи надеялись, что IPStorm окажется чьим-то экспериментом с IPFS и не получит полноценного развития. Увы, этим надеждам не суждено было сбыться.
В свежих отчетах, опубликованных экспертами Bitdefender и Barracuda, сказано, что были обнаружены новые версии IPStorm, способные заражать устройства под управлением Android, macOS и Linux. Также эксперты разобрались в способах распространения ботнета, опровергнув теорию о том, что был лишь чей-то эксперимент. Хуже того, количество зараженных машин увеличилось уже до 13 500 хостов.
По данным исследователей, ботнет атакует и заражает Android-девайсы, сканируя интернет в поисках устройств с открытым портом ADB (Android Debug Bridge). В свою очередь, устройства под управлением Linux и macOS компрометируют через словарные атаки на SSH, то есть злоумышленники просто подбирают имя пользователя и пароль.
После того как IPStorm проникает на устройства, малварь проверяет наличие honeypot-софта, закрепляется в системе, а затем ликвидирует ряд процессов, которые могут представлять угрозу для ее работы.
Хотя ботнет активен уже больше года, исследователи до сих пор не выяснили, какова конечная цель операторов IPStorm. Дело в том, что IPStorm устанавливает реверс-шелл на всех зараженных устройствах, но затем оставляет системы в покое. В теории этим бэкдором можно злоупотребить множеством способов, но пока операторы IPStorm вообще его не используют, хотя могли бы устанавливать на зараженные устройства майнеры, использовать их как прокси, организовывать DDoS-атаки, или попросту продавать доступ к зараженным системам.