Le botnet sono state utilizzate per diverse tipologie di minacce, dall'esecuzione di attacchi Distributed Denial-of-Service (DDoS) al furto di dati e persino per l'invio di spam, tuttavia i ricercatori rivelano di aver scoperto una serie indizi in base ai quali la botnet Interplanetary Storm potrebbe essere utilizzata per qualcosa di completamente diverso: questa particolare botnet scritta in linguaggio Golang potrebbe, infatti, essere usata come una rete di proxy anonima e noleggiata utilizzando un modello basato su abbonamento.

Ecco i principali risultati dell'attività di analisi e ricerca:

- Botnet potenzialmente affittata come rete proxy anonima
- Creata per utilizzare dispositivi compromessi come proxy
- La mappatura delle botnet ne rivela la presenza a livello internazionale
- Noleggiata secondo un modello di prezzi basato su abbonamento a più livelli
- Più di 100 revisioni di codice ad oggi per creare un'infrastruttura affidabile e stabile.

Dimensioni della botnet e distribuzione geografica

Mappando la rete bot di Interplanetary Storm, i ricercatori hanno stimato che includa circa 9.000 dispositivi. La stragrande maggioranza ha come sistema operativo Android e circa l'1% Linux. Inoltre, un numero molto contenuto di dispositivi utilizza il sistema operativo Windows, ma sembra che eseguano versioni più vecchie del malware. Nella sua nuova iterazione, IPStorm si propaga attaccando sistemi basati su Unix (Linux, Android e Darwin) che eseguono server SSH rivolti verso Internet con credenziali deboli o server ADB non sicuri.

In termini di distribuzione geografica, la maggior parte delle vittime di questa particolare rete bot sembra avere sede in Asia, ma la botnet ha un'impronta internazionale, con vittime in Brasile, Ucraina, Stati Uniti, Svezia e Canada, Italia, Francia, Spagna, Germania solo per citare alcuni dei 94 Paesi coinvolti.

Capacità e caratteristiche della botnet Interplanetary Storm

Le sue capacità includono il backdooring del dispositivo (esecuzione di comandi shell) e la generazione di traffico dannoso (scansione di Internet e infezione di altri dispositivi). I ricercatori hanno stabilito che lo scopo principale della botnet è quello di trasformare i dispositivi infettati in proxy nell'ambito di uno schema a scopo di lucro. In passato sono comparse reti bot con questo scopo (ad esempio: dark_nexus, Ngioweb, Gwmndy) e si è partiti dal presupposto che i criminali informatici vendessero l'accesso illegittimo ai dispositivi attraverso forum illegali o sul Dark Web. Questa volta, tuttavia, Bitdefender ha trovato le prove che i bot herder si spacciano per un legittimo servizio di proxy su Clearnet.

Gli ultimi due anni hanno visto un aumento del malware scritto in Golang, e le botnet Linux non fanno eccezione. Emptiness, Liquorbot, Kaiji e Fritzfrog sono tutti esempi di bot Golang che prendono di mira le macchine Linux utilizzando SSH come vettore di attacco. Molteplici caratteristiche di questo linguaggio lo rendono appetibile per gli autori di malware: la portabilità e la ricca base di codice sono le principali.

Alcune di queste famiglie di malware seguono il modello delle botnet Linux "tradizionali", che vengono riscritte in Go, mentre altre hanno un design originale. IPStorm appartiene a quest'ultima categoria, in quanto le sue funzionalità di base sono scritte da zero. Interplanetary Storm ha anche un'infrastruttura complessa e modulare progettata per cercare e compromettere nuovi obiettivi, spingere e sincronizzare nuove versioni del malware, eseguire comandi arbitrari sulla macchina infetta e comunicare con un server C2 che espone un'API web.

Un'analisi tecnica completa e gli indicatori di compromissione (IoC) associati a questo attacco sono disponibili nel white paper disponibile qui.