Pela primeira vez, Anomalia especialistas notaram o IPStorm em junho 2019, e então atacou apenas máquinas Windows. Agora começou a atacar dispositivos no Android, macOS e Linux.
Anteriormente, o botnet incluiu cerca de 3,000 sistemas infectados, mas mesmo assim os pesquisadores descobriram vários recursos estranhos e interessantes que eram exclusivos do IPStorm.
Por exemplo, o nome completo do malware – Tempestade Interplanetária – vem do sistema de arquivos interplanetário (IPFS), um protocolo P2P que o malware usa para se comunicar com sistemas infectados e transmitir comandos.
"Além disso, IPStorm foi escrito na linguagem Go, e embora ninguém se surpreenda com malware nesta linguagem, em 2019 isso não foi tão difundido, o que tornou o IPStorm um malware bastante exótico e interessante”, - disse aos pesquisadores da Anomali.
Interessantemente, Anomalias 2019 relatório não explicou como o malware se espalha. Naquela hora, alguns pesquisadores esperavam que o IPStorm se tornasse um experimento de alguém com IPFS e não recebesse desenvolvimento completo.
Infelizmente, essas esperanças não poderiam se tornar realidade.
Em relatórios recentes publicados por especialistas Bitdefender e Barracuda, diz-se que foram descobertas as novas versões do IPStorm que podem infectar dispositivos com Android, macOS e Linux. Os especialistas também descobriram como o botnet estava se espalhando, refutando a teoria de que foi apenas um experimento de alguém. Pior ainda, o número de máquinas infectadas já aumentou para 13,500 anfitriões.
“O botnet ataca e infecta dispositivos Android examinando a Internet em busca de dispositivos com um ADB aberto (Ponte de depuração do Android) porta. Por sua vez, dispositivos que executam Linux e macOS são comprometidos por ataques de dicionário em SSH, aquilo é, os invasores simplesmente forçam um nome de usuário e uma senha”, – informar os pesquisadores.
Depois que o IPStorm se infiltra nos dispositivos, o malware verifica o software honeypot, se liga ao sistema, e, em seguida, elimina uma série de processos que poderiam representar uma ameaça à sua operação.
Embora a botnet esteja ativa há mais de um ano, os pesquisadores ainda não descobriram qual é o objetivo final dos operadores IPStorm. O fato é que o IPStorm instala um shell reverso em todos os dispositivos infectados, mas depois deixa os sistemas sozinhos.
Em teoria, esse backdoor pode ser usado de várias maneiras, mas até agora os operadores IPStorm não o utilizam, embora eles possam instalar mineradores em dispositivos infectados, use-os como proxies, organizar ataques DDoS, ou simplesmente vender acesso a sistemas infectados.
Eu adoro botnets e fico feliz em falar sobre eles, por exemplo sobre a botnet Prometheus ou o Botnet de propaganda Drácula, mas o mais legal ainda é o botnet Cereals, que há oito anos existe com um único propósito: ele baixou anime.