Le botnet InterPlanetary Storm infecte 13 500 appareils

Une nouvelle variante du malware InterPlanetary Storm a été découverte. Cette variante a de nouvelles tactiques de détection-évasion et cible désormais les appareils Mac et Android (en plus de Windows et Linux, qui étaient ciblés par les variantes précédentes du malware).

Les chercheurs affirment que le logiciel malveillant est en train de créer un botnet avec environ 13 500 machines infectées actuellement dans 84 pays à travers le monde et ce nombre continue de croître. La moitié des machines infectées se trouvent à Hong Kong, en Corée du Sud et à Taiwan. D’autres systèmes infectés se trouvent en Russie, au Brésil, aux États-Unis, en Suède et en Chine.

«Bien que le botnet que ce logiciel malveillant est en train de créer ne dispose pas encore de fonctionnalités claires, il offre aux opérateurs de la campagne une porte dérobée vers les appareils infectés afin qu’ils puissent plus tard être utilisés pour le cryptomining, des attaques DDoS ou d’autres attaques à grande échelle», ont déclaré des chercheurs de Barracuda dans une analyse.

La première variante d’InterPlanetary Storm a été découverte en Mai 2019 et ciblait les machines Windows. En Juin, une variante ciblant les machines Linux et les appareils IoT a également été signalée, tels que les téléviseurs fonctionnant sur les systèmes d’exploitation Android, et les machines basées sur Linux, telles que les routeurs avec un service SSH mal configuré.

Le botnet InterPlanetary Storm, qui est écrit en Go, utilise l’implémentation Go de libp2p, qui est une infrastructure réseau qui permet aux utilisateurs d’écrire des applications peer-to-peer (P2P) décentralisées. Ce framework était à l’origine le protocole de réseau d’InterPlanetary File System (IPFS), sur lequel les chercheurs ont basé le nom du malware.

«Le malware s’appelle InterPlanetary Storm car il utilise le réseau p2p de InterPlanetary File System (IPFS) et son implémentation libp2p sous-jacente», ont déclaré les chercheurs. “Cela permet aux nœuds infectés de communiquer entre eux directement ou via d’autres nœuds (c’est-à-dire des relais).”

interplanetary storm

Le malware InterPlanetary Storm se propage via des attaques par force brute sur des appareils dotés de Secure Shell (SSH), un protocole de réseau cryptographique permettant d’exploiter les services réseau en toute sécurité sur un réseau non sécurisé. Les chercheurs ont noté que cela est similaire à FritzFrog, un autre malware P2P. Une autre méthode d’infection consiste à accéder aux ports ADB (Apple Desktop Bus) ouverts, qui connectent des périphériques à faible vitesse aux ordinateurs.

«Le malware InterPlanetary Storm détecte l’architecture du processeur et le système d’exploitation en cours d’exécution de ses victimes, et il peut fonctionner sur des machines ARM, une architecture assez courante avec les routeurs et autres appareils IoT», ont déclaré les chercheurs.

InterPlanetary Storm

La dernière variante de InterPlanetary Storm a divers grands changements, notamment en étendant son ciblage aux appareils Mac et Android. Cependant, la nouvelle variante peut également se mettre à jour automatiquement vers la dernière version de malware disponible et tuer d’autres processus sur la machine qui présentent une menace, comme les débogueurs ou les logiciels malveillants concurrents (en regardant des chaînes telles que «rig», «xig» et «debug ”).

Et, il peut maintenant détecter les honeypots(pots de miel) en recherchant la chaîne «svr04» dans l’invite du shell par défaut, par exemple.

Une fois infectés, les appareils communiquent avec le serveur de commande et de contrôle (C2) pour informer qu’ils font partie du botnet. Les chercheurs ont déclaré que les identifiants de chaque machine infectée sont générés lors de l’infection initiale et seront réutilisés si la machine redémarre ou si le logiciel malveillant se met à jour. Une fois téléchargé, il sert également des fichiers malveillants à d’autres nœuds du réseau. Le malware active également le shell inversé et peut exécuter le shell bash, ont déclaré les chercheurs.

«Les applications Libp2p gèrent les connexions entrantes (flux) en se basant sur une adresse logique (c’est-à-dire inconnue de la couche de transport) appelée protocol ID», ont déclaré les chercheurs. “Par convention, les identifiants de protocole ont une structure semblable à un chemin, avec un numéro de version comme composant final.”

InterPlanetary Storm n’est pas seul

Les botnets – en particulier les botnets P2P comme Mozi, Roboto et DDG – continuent d’apparaître dans le paysage des menaces. Pour éviter les infections, les chercheurs suggèrent aux utilisateurs finaux de configurer correctement l’accès SSH sur tous les appareils et d’utiliser un outil de gestion des mesures de sécurité du cloud pour surveiller le contrôle d’accès SSH, éliminant ainsi toute erreur de configuration potentielle.

«Lorsque la connexion par mot de passe est activée et que le service lui-même est accessible, le logiciel malveillant peut exploiter la surface d’attaque mal configurée», ont-ils déclaré. «C’est un problème courant avec les routeurs et les appareils IoT, ils constituent donc des cibles faciles pour ce malware.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x