Miles de dispositivos de IoT infectados utilizados en un servicio de anonimato con fines de lucro

Las máquinas se infectan al buscar servidores SSH (o shell seguro) y, cuando se encuentran, intentan adivinar contraseñas débiles. El malware escrito en el lenguaje de programación Go luego implementa una botnet con un diseño original, lo que significa que su funcionalidad principal está escrita desde cero y no toma prestada de botnets vistas anteriormente.

El código integra implementaciones de protocolos de código abierto que incluyen NTP, UPnPy CALCETINES5. El código también usa el lib2p biblioteca para la funcionalidad peer-to-peer. El código utiliza además una pila de red basada en lib2p para interactuar con el Sistema de archivos interplanetario, que a menudo se abrevia como IPFS.

“En comparación con otro malware Golang que hemos analizado en el pasado, IPStorm es notable en su diseño complejo debido a la interacción de sus módulos y la forma en que hace uso de las construcciones de libp2p”, dijo el informe del jueves usando la abreviatura de Interplanetary Storm. “Está claro que el actor de amenazas detrás de la botnet es competente en Golang”.

Una vez ejecutado, el código inicializa un nodo IPFS que lanza una serie de subprocesos ligeros, conocidos como Goroutines, que a su vez implementan cada una de las subrutinas principales. Entre otras cosas, genera un par de claves RSA de 2048 bits que pertenece al nodo IPFS y se utiliza para identificarlo de forma única.

Por las botas

Una vez que comienza un proceso de arranque, otros nodos de la red IPFS pueden acceder al nodo. Los diferentes nodos usan componentes de lib2p para comunicarse. Además de comunicarse para el servicio de proxy anónimo, los nodos también interactúan entre sí para compartir archivos binarios de malware utilizados para la actualización. Hasta la fecha, Bitdefender ha contado más de 100 revisiones de código, una indicación de que IPStorm permanece activo y recibe una sólida atención de programación.

Bitdefender estimó que hay alrededor de 9.000 dispositivos únicos, y la gran mayoría de ellos son dispositivos Android. Solo alrededor del 1 por ciento de los dispositivos ejecutan Linux, y se cree que solo una máquina ejecuta Darwin. Sobre la base de las pistas recopiladas de la versión del sistema operativo y, cuando están disponibles, el nombre de host y los nombres de usuario, la empresa de seguridad ha identificado modelos específicos de enrutadores, dispositivos NAS, receptores de TV y placas de circuitos multipropósito y microcontroladores (por ejemplo, Raspberry Pis) que probablemente conforman la botnet.

Muchos delincuentes utilizan proxies anónimos para transmitir datos ilegales, como pornografía infantil, amenazas y ataques de aplastamiento. El informe del jueves es un buen recordatorio de por qué es importante cambiar siempre las contraseñas predeterminadas al configurar dispositivos de Internet de las cosas y, cuando sea posible, deshabilitar también el acceso administrativo remoto. El costo de no hacerlo no solo puede ser la pérdida de ancho de banda y el aumento del consumo de energía, sino también el contenido delictivo que se puede rastrear hasta su red.

Recent Articles

Gana Monster Prom XXL en Switch desde Super Rare Games

¡Finalmente, podemos hacer el Monster Mash!En el concurso de hoy puedes ganar Monster Prom XXL en Switch desde Super Rare Games! ¡Es casi Halloween! Es,...

Cómo JustEat desarrolló aplicaciones móviles para audiencias internacionales

Pasé un poco de tiempo viendo algunas de las presentaciones centradas en los desarrolladores que se dieron en la reciente Héroes veloces y una...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí