В течение нескольких месяцев эксперты в области кибербезопасности изучали необычную сеть зараженных устройств (ботнет), которая существенно отличается от всех ранее известных. Анализ показал, что ее особенность заключается не только в структуре затронутых систем и языке программирования, используемом для создания вредоносного кода, но и в ее назначении – по всем признакам это является скрытым анонимайзером, аналогичным TOR.
Около полугода назад были развернуты специальные серверы-приманки ( honeypot, «горшочек с медом» или «ханипот») компании Bitdefender зафиксировали возросшую активность весьма специфических атакующих программных роботов. От обычных «зловредов», превращающих компьютеры и сетевые устройства в звенья ботнета, они отличались языком программирования. Обычно подобные программы пишут на C, C++ или Pearl, но эти были сделаны на Go.
Помимо этой аномалии, исследователей заинтересовала и не до конца понятная функция сети, созданной хакерами. Обычно ботнеты используются для совершения обыденных киберпреступлений, таких как масштабные атаки типа «отказ в обслуживании» ( DoS), они могут использоваться для выполнения ресурсоемких вычислений, таких как майнинг криптовалют. Помимо этого, практически каждая подобная сеть зараженных устройств осуществляет задачи самообеспечения: координирует действия узлов, распространяет вредоносное ПО и собирает данные для будущих атак, однако это не является их главной целью.
Обнаруженный специалистами Bitdefender ботнет Interplanetary Storm вел себя совсем нетипично, и они занялись его пристальным изучением. Интригующий отчет об этой работе был опубликован в четверг, 15 октября, на официальном сайте компании. Исследователи пришли к выводу, что, судя по поведению сети, она представляет собой сложный и достаточно продвинутый распределенный сервис по обеспечению анонимности клиентов для удаленных интернет-ресурсов (анонимайзер).
Использование термина «клиент» в данном контексте не является случайным — анализ показал, что ботнет обладает всеми чертами коммерческого продукта, предназначенного для продолжительной эксплуатации и обслуживания постоянных пользователей, оплачивающих подписку. Ханипоты Bitdefender перехватили достаточное количество файлов Interplanetary Storm, это позволит детально проанализировать его структуру, выявить особенности атаки, отслеживать зараженные устройства (ноды) и находить контролирующие серверы.
Эксперты в области кибербезопасности выявили комплексную систему обновления исполняемых файлов Interplanetery Storm и отслеживания их версий. Она позволяет совершенствовать функционал и улучшать производительность всего ботнета. Это один из факторов, показывающих, что сеть не просто растет, а находится в стадии активной разработки.
По предварительным оценкам, ботнет включает около девяти тысяч скомпрометированных устройств, среди которых преобладают системы, использующие операционные системы семейства Unix. На основе косвенных признаков было установлено, что это устройства интернета вещей ( IoT), сетевые дисковые накопители, роутеры и маршрутизаторы, телевизионные приставки, микроконтроллеры (вроде Raspberry Pi).
Используются вполне законные, с точки зрения антивирусных программ, методы для осуществления атак на жертв, IRC-клиента, подвергшегося незначительным изменениям со стороны злоумышленников. Для получения административного доступа к сетевым устройствам используется довольно простой метод: обращение к ним по протоколу SSH и просто перебирает типовые логины с паролями. Учитывая, что большое количество роутеров, компонентов умного дома и прочего имеющего доступ в сеть IT-оборудования для домашнего использования остается с настройками по «умолчанию», такая тактика проста и эффективна.
Ноды Interplanetery Storm находятся в 98 странах, значительная их часть — в Юго-Восточной Азии: Гонконге, Южной Корее и на Тайване. Примечательно, что в топ-10 государств, где расположено больше всего зараженных устройств, вошли и Россия (336 штук) с Украиной (524 единицы).
Для защиты себя и своих устройств от подобных угроз эксперты советуют обязательно использовать сложные пароли для всех интерфейсов, используемых для доступа к домашнему сетевому оборудованию. Даже если у вас нет роутеров или сетевых дисков, это не является гарантией безопасности: в частности, сотрудники Bitdefender выяснили, что Interplanetery Storm способен заражать операционные системы Windows и Android, но в настоящий момент не представляют собой приоритетную задачу.