Правоохранительные органы ликвидировали нелегальный ботнет-прокси-сервис IPStorm
Пьерлуиджи Паганини
15 ноября 2023 г.
Федеральное бюро расследований (ФБР) демонтировало инфраструктуру, лежащую в основе нелегального прокси-сервиса ботнета IPStorm.
Ботнет IPStorm был впервые обнаружен в мае 2019 года и нацелен на системы Windows. Эксперты Intezer сообщили, что бот эволюционировал для заражения других платформ, включая устройства Android, Linux и Mac.
Ботнет IPStorm продолжает заражать системы по всему миру, его размер увеличился с примерно 3000 зараженных систем в мае 2019 года до более 13 500 устройств в октябре 2020 года.
Название IPStorm — это аббревиатура InterPlanetary Storm, происходящая от InterPlanetary File System (IPFS), которая представляет собой одноранговый протокол, используемый роботом для связи с целью сокрытия вредоносного трафика.
Бот был написан на языке программирования Go, изначально он был рассчитан на компрометацию только Windows-систем. В июне компании по обеспечению безопасности Bitdefender и Barracuda обнаружили новые версии IPStorm, которые также могут быть нацелены на Android, Linux и Mac.
Эксперты обеих охранных фирм сообщили, что IPStorm заразил системы Android через порт ADB (Android Debug Bridge), открытый в Интернете.
Бот также атаковал устройства Linux и Mac и проводил атаки по словарю на службы SSH, чтобы угадать их имена пользователей и пароли.
Как только соединение будет установлено, вредоносная программа проверит наличие приманки, сравнивая имя хоста атакуемого сервера со строкой «svr04», которая является именем хоста приманки Cowrie SSH по умолчанию.
«Вариант для Linux имеет дополнительные функции по сравнению с документированной версией для Windows, такие как использование грубой силы SSH как средство распространения дополнительных жертв и мошенническая онлайн-активность, злоупотребляющая игровыми и рекламными платформами Steam». читает отчет Интезера. «Вариант Linux скорректировал некоторые функции, чтобы учесть фундаментальные различия, существующие между этой операционной системой и Windows».
Бот IPStorm также уничтожает список процессов, которые потенциально могут помешать его работе.
На этой неделе ФБР сообщило о ликвидации ботнета IPStorm правоохранительными органами США. Совместное международное расследование было проведено кибергруппой ФБР в Сан-Хуане в сотрудничестве с юридическим атташе ФБР в Мадриде и в координации с группой кибератак национальной полиции Испании; и офис атташе по правовым вопросам ФБР в Санто-Доминго в координации с Доминиканской национальной полицией-Интерполом и Доминиканской национальной полицией-международной организованной преступностью, а также Министерством внутренних дел и Полицейско-иммиграционным советом. Национальный альянс киберкриминалистики и обучения (NCFTA.net), включающий команду Bitdefender DRACO, Anomali Threat Research и Intezer, а также помогавших следователям.
Гражданин России и Молдовы Сергей Макинин признал себя виновным в управлении незаконным ботнетом.
Мужчина утверждал, что у него есть ботнет, состоящий из 23 000 «высоко анонимных» прокси по всему миру. Он предлагал свои услуги через веб-сайты «proxx.io» и «proxx.net».
«Согласно судебным документам, как минимум с июня 2019 года по декабрь 2022 года Макинин разработал и внедрил вредоносное программное обеспечение для взлома тысяч интернет-устройств по всему миру, в том числе в Пуэрто-Рико. Макинин контролировал эти зараженные устройства в рамках обширного ботнета, который сеть взломанных устройств». говорится в пресс-релизе, опубликованном Министерством юстиции. «Основной целью ботнета было превращение зараженных устройств в прокси в рамках коммерческой схемы, которая обеспечивала доступ к этим прокси через сайты Makinin, proxx.io и proxx.net».
Мужчина признался, что заработал на мошеннической деятельности не менее $550 000, он потеряет криптокошельки, в которых хранились преступные доходы.
«Это расследование показывает, что мы будем использовать все имеющиеся в нашем распоряжении юридические инструменты, чтобы остановить деятельность киберпреступников, независимо от их местонахождения», — заявил прокурор США Стивен Малдроу. «Этот случай служит предупреждением о том, что действие закона очень велико, и преступники повсюду, использующие компьютеры для совершения преступлений, могут в конечном итоге столкнуться с последствиями своих действий в местах, которых они не ожидали».
Макинину грозит максимальное наказание в виде 10 лет лишения свободы.
Подпишись на меня в Твиттере: @проблемы с безопасностью и Facebook и Мастодонт
Пьерлуиджи Паганини
(Вопросы безопасности – хакерство, критическая инфраструктура)
