Interplanetary Storm verwendet P2P-Netzwerke, hauptsächlich auf IoT-Geräten mit Android.
Etwa 9000 Geräte größtenteils mit den Betriebssystemen Android, Linux und Darwin wurden in dem sogenannten „Interplanetary Storm“(der Name eines Botnetzes, dessen Hauptzweck die Schaffung eines gewinnorientierten Proxy-Dienstes ist) eingebunden, welcher vermutlich anonym im Internet zur Verfügung gestellt werden soll.
Sie umfassen:
,,Zusammen sind diese Knoten verantwortlich für die Überprüfung der Knotenverfügbarkeit, die Verbindung zu Proxy-Knoten, das Hosting des Web-API-Dienstes, das Signieren autorisierter Nachrichten und sogar das Testen der Malware in der Entwicklungsphase“.
Dies schrieben Forscher des rumänischen Herstellers von Antiviren-Programmpaketen „Bitdefender“ in einem am Donnerstag veröffentlichten Bericht. “Zusammen mit anderen Entwicklungsentscheidungen führt uns dies zu der Annahme, dass das Botnetz als Proxy-Netzwerk verwendet wird, welches möglicherweise als Anonymisierungsdienst angeboten wird“.
Es ist nicht das erste Mal, dass Forscher Botnetze gefunden haben, die zur Bereitstellung von Netzwerken für eine quasi anonyme Internetnutzung verwendet werden. Der Sicherheitsjournalist Brian Krebs berichtete bereits im Jahr 2008 darüber.
Verschiedene Forscher haben diese zudem dokumentiert. Eine Tatsache, die der Hersteller Bitdefender zu dieser Zeit interessant fand, ist, dass der anonyme Proxy in dem Clearnet und nicht in den Darknet-Foren beworben wurde.
Rechner werden infiziert, indem sie nach SSH- oder sicheren Shell-Servern scannen, wenn Diese gefunden werden, versuchen sie, schwache Passwörter zu erraten. Malware, die in der Go-Programmiersprache geschrieben wurde, implementiert dann ein Botnetz mit einem originellen Design. Dies bedeutet, dass seine Kernfunktionalität von Grund auf neu geschrieben wurde und keine Rückschlüsse auf zuvor gesehene Botnets zulässt.
Der Code integriert Open-Source-Implementierungen von Protokollen wie NTP, UPnP und SOCKS5. Zusätzlich verwendet dieser die lib2p-Bibliothek für Peer-to-Peer-Funktionalität. Außerdem wird ein lib2p-basierten Netzwerk-Stack zur Interaktion mit dem Interplanetaren Dateisystem, welches oft mit IPFS abgekürzt wird, verwendet.
„Im Vergleich zu anderer Golang-Malware, die wir in der Vergangenheit analysiert haben, ist IPStorm aufgrund des Zusammenspiels seiner Module und der Art und Weise, wie es sich die Konstrukte der libp2p zunutze macht, bemerkenswert in seinem komplexen Design”, hieß es im Bericht vom Donnerstag, in welchem die Abkürzung für „Interplanetary Storm“ verwendet wurde. “Es ist klar, dass der Bedrohungsakteur hinter dem Botnetz „Golang“ beherrscht.“
Bitdefender schätzt, dass es etwa 9.000 einzigartige Geräte gibt, von denen die überwiegende Mehrheit Android-Geräte sind. Nur etwa 1 Prozent der Geräte laufen unter Linux. Es wird angenommen, dass nur auf einer einzigen Maschine Darwin läuft. Auf der Grundlage von Hinweisen, die anhand der Betriebssystemversion und, falls verfügbar, des Host- und Benutzernamens gesammelt wurden, hat die Sicherheitsfirma bestimmte Modelle von Routern, NAS-Geräten, TV-Empfängern und Mehrzweck-Leiterplatten und Mikrocontrollern (z. B. Raspberry Pis) identifiziert, die wahrscheinlich das Botnetz bilden.
Viele Kriminelle verwenden anonyme Proxies, um illegale Daten wie Kinderpornografie, Drohungen und Swatting-Angriffe zu übermitteln. Der Bericht vom Donnerstag ist eine gute Erinnerung daran, warum es wichtig ist, beim Einrichten von Internet-of-things-Geräten immer die Standardpasswörter zu ändern und – wenn möglich – auch den administrativen Fernzugriff zu deaktivieren. Die Kosten, dies nicht zu tun, können nicht nur verlorene Bandbreite und erhöhter Stromverbrauch sein, sondern auch kriminelle Inhalte, die bis zu Ihrem Netzwerk zurückverfolgt werden könnten.
