Ботнет IPStorm стал атаковать устройства на Android, macOS и Linux

Ботнет IPStorm стал атаковать устройства на Android, macOS и Linux

Добавлено в закладки: 0

Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который малварь использовала для связи с зараженными системами и передачи команд.

Кроме того, IPStorm оказался написан на языке Go, и хотя сейчас малварью на этом языке никого не удивить, в 2019 году подобное было распространено не так широко, что делало IPStorm довольно экзотичным и интересным образцом вредоносного ПО.

Интересно, что в отчете Anomali от 2019 года не объяснялось, как распространяется малварь. Тогда некоторые исследователи надеялись, что IPStorm окажется чьим-то экспериментом с IPFS и не получит полноценного развития. Увы, этим надеждам не суждено было сбыться.

В свежих отчетах, опубликованных экспертами Bitdefender и Barracuda, сказано, что были обнаружены новые версии IPStorm, способные заражать устройства под управлением Android, macOS и Linux. Также эксперты разобрались в способах распространения ботнета, опровергнув теорию о том, что был лишь чей-то эксперимент. Хуже того, количество зараженных машин увеличилось уже до 13 500 хостов.

По данным исследователей, ботнет атакует и заражает Android-девайсы, сканируя интернет в поисках устройств с открытым портом ADB (Android Debug Bridge). В свою очередь, устройства под управлением Linux и macOS компрометируют через словарные атаки на SSH, то есть злоумышленники просто подбирают имя пользователя и пароль.

После того как IPStorm проникает на устройства, малварь проверяет наличие honeypot-софта, закрепляется в системе, а затем ликвидирует ряд процессов, которые могут представлять угрозу для ее работы.

Читайте также:   Фургалу на заметку

Хотя ботнет активен уже больше года, исследователи до сих пор не выяснили, какова конечная цель операторов IPStorm. Дело в том, что IPStorm устанавливает реверс-шелл на всех зараженных устройствах, но затем оставляет системы в покое. В теории этим бэкдором можно злоупотребить множеством способов, но пока операторы IPStorm вообще его не используют, хотя могли бы устанавливать на зараженные устройства майнеры, использовать их как прокси, организовывать DDoS-атаки, или попросту продавать доступ к зараженным системам.

Источник

Автор публикации

не в сети 21 час

Андрей Маргулис

Ботнет IPStorm стал атаковать устройства на Android, macOS и Linux 427
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
flagТунис.
29 лет
День рождения: 14 Мая 1991
Комментарии: 523Публикации: 1599Регистрация: 12-12-2015

Другие записи этого автора:

РЭНБИ
Добавить комментарий
Войти с помощью: 
Хроники коронавируса COVID-19
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля