I ricercatori Bitdefender hanno rilevato nuove tipologie di utilizzo della botnet Interplanetary Storm che finora ha coinvolto 9000 dispositivi in 94 Paesi, tra cui l’Italia.
Secondo i ricercatori la botnet Interplanetary Storm potrebbe essere utilizzata per qualcosa di completamente diverso rispetto all’utilizzo delle botnet in diverse tipologie di attacchi: “questa particolare botnet scritta in linguaggio Golang potrebbe, infatti, essere usata come una rete di proxy anonima e noleggiata utilizzando un modello basato su abbonamento.
Principali risultati dell’attività di analisi e ricerca di Bitdefender:
- Botnet potenzialmente affittata come rete proxy anonima
- Creata per utilizzare dispositivi compromessi come proxy
- La mappatura delle botnet ne rivela la presenza a livello internazionale
- Noleggiata secondo un modello di prezzi basato su abbonamento a più livelli
- Più di 100 revisioni di codice ad oggi per creare un’infrastruttura affidabile e stabile.
Mappando la rete bot di Interplanetary Storm, i ricercatori di Bitdefender hanno stimato che includa circa 9.000 dispositivi. La stragrande maggioranza ha come sistema operativo Android e circa l’1% Linux. Inoltre, un numero molto contenuto di dispositivi utilizza il sistema operativo Windows, ma sembra che eseguano versioni più vecchie del malware. Nella sua nuova iterazione, IPStorm si propaga attaccando sistemi basati su Unix (Linux, Android e Darwin) che eseguono server SSH rivolti verso Internet con credenziali deboli o server ADB non sicuri.
In termini di distribuzione geografica, la maggior parte delle vittime di questa particolare rete bot sembra avere sede in Asia, ma la botnet ha un’impronta internazionale, con vittime in Brasile, Ucraina, Stati Uniti, Svezia e Canada, Italia, Francia, Spagna, Germania solo per citare alcuni dei 94 Paesi coinvolti.
Le sue capacità includono il backdooring del dispositivo (esecuzione di comandi shell) e la generazione di traffico dannoso (scansione di Internet e infezione di altri dispositivi). I ricercatori di Bitdefender hanno stabilito che lo scopo principale della botnet è quello di trasformare i dispositivi infettati in proxy nell’ambito di uno schema a scopo di lucro”.
