Эксперты компании Bitdefender подробно рассказали о работе P2P-ботнета Interplanetary Storm (он же IPStorm), который использует зараженные устройства в качестве прокси.

По данным исследователей, в состав ботнета входят более 9000 хостов (по другим данным число зараженных девайсов и вовсе превышает 13 500), подавляющее большинство которых работают под управлением Android, а еще около одного процента под управлением Linux и Darwin. По данным исследователей, это различные маршрутизаторы, NAS, UHD-ресиверы, многофункциональные платы (к примеру, Raspberry Pi) и прочие IoT-девайсы. В основном зараженные устройства находятся в Гонконге, Южной Корее и на Тайване.

Исследователи пишут, что о предназначении ботнета можно догадаться по специализированным узлам, входящим в управляющую инфраструктуру малвари:

  • прокси-сервер, который пингует другие узлы, чтобы подтвердить их доступность;
  • программа проверки прокси, которая подключается к прокси-серверу бота;
  • менеджер, который отдается команды для сканирования и брутфорса;
  • бэкэнд-интерфейс, отвечающий за хостинг Web API;
  • узел, использующий криптографические ключи для аутентификации других устройств и подписания авторизованных сообщений;
  • узел, используемый для разработки.

Суммарно это гарантирует проверку доступности узлов, подключение к прокси, хостинг Web API, подписание авторизованных сообщений и даже тестирование малвари на этапе разработки, рассказывают исследователи.

«Все это наводит на мысль, что ботнет используется в качестве прокси-сети, вероятно, предлагаемой в качестве сервиса анонимизации», — гласит отчет Bitdefender.

Заражение Interplanetary Storm происходит через сканирование SSH и подбор слабых паролей. Сама малварь написана на языке Go, причем в отчете подчеркивается, что ее основные функции были написаны с нуля, а не заимствованы у других ботнетов, как это часто бывает. Суммарно исследователи обнаружили более 100 изменений в коде вредоноса, то есть разработка Interplanetary Storm идет полным ходом.

В код вредоноса интегрированы имплементации опенсорсных протоколов NTP, UPnP и SOCKS5, а также библиотека lib2p для реализации peer-to-peer функциональности. Также малварь использует сетевой стек на основе lib2p для взаимодействия с IPFS.

Схема работы Interplanetary Storm

«По сравнению с другими вредоносными программами, написанными на Go, которые мы анализировали в прошлом, IPStorm примечателен комплексным дизайном взаимодействия модулей и тем, как он использует конструкты libp2p. Совершенно очевидно, что злоумышленник, стоящий за этим ботнетом, хорошо владеет Go», — резюмируют эксперты.

Оставить мнение