Les cybercriminels mettent en place et utilisent des botnets pour mener des attaques DDoS, voler des données et envoyer du spam, mais maintenant les chercheurs de Bitdefender ont trouvé des signes que le botnet Interplanetary Storm pourrait être utilisé pour autre chose.
Interplanetary Storm (IPStorm) a été découvert pour la première fois par des chercheurs de la société de cybersécurité Anomali en juin de l’année dernière. Cependant, Bitdefender a lancé une nouvelle campagne utilisant le botnet lorsqu’elle a attaqué les pots de miel SSH de l’entreprise en mai de cette année.
Le logiciel malveillant n’a cessé d’évoluer depuis, car ses créateurs ont intégré de nouvelles fonctionnalités pour tenter de cacher ses activités avec un trafic inoffensif. Les capacités d’IPStorm incluent la possibilité de créer une porte dérobée sur un appareil exécutant des commandes shell et de générer un trafic malveillant en analysant Internet et en infectant d’autres appareils.
Bitdefender a fourni des informations supplémentaires sur IPStorm dans son nouveau livre blanc intitulé «Looking Into the Eye of the Interplanetary Storm», en disant:
«Comparé à d’autres logiciels malveillants de Golang que nous avons analysés dans le passé, IPStorm est remarquable par sa conception complexe en raison de l’interaction de ses modules et de la façon dont il utilise les constructions de libp2p. Il est clair que l’acteur de la menace derrière le botnet est compétent en Golang; une conséquence des bonnes pratiques de codage de l’auteur du malware, à savoir sa rigueur dans la gestion des erreurs, est qu’elle facilite le processus de rétro-ingénierie, car de nombreuses séquences de code sont accompagnées de chaînes de journalisation pertinentes. »
Sommaire
Réseau proxy basé sur un abonnement
Dans sa nouvelle itération, IPStorm se propage en attaquant les systèmes Unix, notamment Linux, Android et Darwin, qui exécutent des serveurs SSH connectés à Internet avec des informations d’identification faibles ou des serveurs ADB non sécurisés.
Bitdefender estime que le botnet a le potentiel d’être utilisé comme un proxy-network-as-a-service d’anonymisation qui pourrait être loué à d’autres cybercriminels en utilisant un modèle basé sur un abonnement.
Alors que le botnet a déjà été examiné par les chercheurs de la société, une surveillance constante du cycle de vie de développement d’IPStorm a révélé que les cybercriminels qui le sous-tendent maîtrisent l’utilisation de Golang et des meilleures pratiques de développement, ainsi que la dissimulation des nœuds de gestion du botnet.
Dans le même temps, IPStorm dispose d’une infrastructure complexe et modulaire conçue pour rechercher et compromettre de nouvelles cibles, pousser et synchroniser de nouvelles versions du malware, exécuter des commandes arbitraires sur des machines infectées et communiquer avec un serveur C2 qui expose une API Web.
Le botnet IPStorm est certainement à surveiller, surtout si la prédiction de Bitdefender selon laquelle il pourrait être loué en tant que réseau proxy se réalise.
