La nouvelle variante du malware InterPlanetary Storm cible les appareils IoT. Les appareils infectés ouvrent des portes dérobées pour le cryptomining, les DDoS et d'autres attaques à grande échelle.
L'organisation cybercriminelle à l'origine du malware InterPlanetary Storm a publié une nouvelle variante qui cible désormais les appareils Mac et Android en plus des ordinateurs Windows et Linux. Le malware construit un botnet qui comprend actuellement environ 13.500 84 ordinateurs infectés dans XNUMX pays différents à travers le monde, et ce nombre ne cesse de croître.
Après Windows et Linux, maintenant les appareils IoT
La première variante d'InterPlanetary Storm qui ciblait les machines Windows a été découverte en mai 2019, et une variante capable d'attaquer les machines Linux a été signalée en juin de cette année. La nouvelle variante, découverte pour la première fois par les chercheurs de Barracuda fin août, cible les appareils IoT tels que les téléviseurs exécutant des systèmes d'exploitation Android, ainsi que les machines basées sur Linux telles que les routeurs avec un service SSH mal configuré. Bien que le botnet qui construit ce malware n'ait pas encore de fonctionnalité claire, il fournit aux opérateurs de campagne une porte dérobée dans les appareils infectés afin qu'ils puissent ensuite être utilisés pour le cryptomining, les DDoS ou d'autres attaques à grande échelle.
La majorité des ordinateurs infectés par le malware se trouvent actuellement en Asie.
• 59 % des ordinateurs infectés se trouvent à Hong Kong, en Corée du Sud et à Taïwan.
• 8 % en Russie et en Ukraine
• 6 % au Brésil
• 5 % aux États-Unis et au Canada
• 3 % en Suède
• 3 % en Chine
• Tous les autres pays enregistrent 1 % ou moins (Allemagne actuellement 0,5 %)
Comment fonctionne le nouveau malware InterPlanetary Storm
La nouvelle variante du malware InterPlanetary Storm accède aux machines en effectuant une attaque par dictionnaire sur les serveurs SSH, similaire à FritzFrog, un autre malware peer-to-peer (P2P). Il peut également y accéder en accédant à des serveurs ADB (Android Debug Bridge) ouverts. Le logiciel malveillant connaît l'architecture du processeur et le système d'exploitation de ses victimes, et il peut s'exécuter sur des machines basées sur ARM, une architecture que les routeurs et autres appareils IoT utilisent assez couramment. Le malware est surnommé InterPlanetary Storm car il utilise le réseau p2p IPFS (InterPlanetary File System) et l'implémentation libp2p sous-jacente. Cela permet aux nœuds infectés de communiquer entre eux directement ou via d'autres nœuds (par exemple, des relais).
Particularités de la nouvelle variante
Cette variante d'InterPlanetary Storm est écrite en Go, utilise l'implémentation de Go de libp2p et est empaquetée avec UPX. Il prolifère en utilisant la force brute SSH et les ports ADB ouverts et fournit des fichiers malveillants à d'autres nœuds du réseau. Le logiciel malveillant active également le shell inversé et peut exécuter le shell bash. La nouvelle variante possède plusieurs fonctionnalités uniques conçues pour aider le logiciel malveillant à rester persistant et protégé une fois qu'il a infecté une machine :
- Il détecte les pots de miel. Le logiciel malveillant recherche la chaîne "svr04" dans l'invite standard du shell (PS1), qui était auparavant utilisée par le pot de miel Cowrie.
- Il se met à jour automatiquement. Le logiciel malveillant compare la version de l'instance en cours d'exécution avec la dernière version disponible et se met à jour en conséquence.
- Il tente d'être persistant en installant un service (system/systemv) à l'aide d'un package Go Daemon.
- Il arrête d'autres processus sur la machine qui constituent une menace pour le logiciel malveillant, tels que les débogueurs et les logiciels malveillants concurrents.
Mesures de protection contre la nouvelle variante InterPlanetary Storm
- Configuration correcte de l'accès SSH sur tous les appareils : cela signifie que des clés sont utilisées à la place des mots de passe, ce qui rend l'accès plus sécurisé. Si la connexion par mot de passe est activée et que le service lui-même est accessible, le logiciel malveillant peut exploiter la surface d'attaque mal configurée. C'est un problème pour de nombreux routeurs et appareils IoT, ce qui en fait des cibles faciles pour ce malware.
- Utiliser un outil de gestion de la posture de sécurité cloud pour surveiller le contrôle d'accès SSH afin d'éviter toute erreur de configuration pouvant avoir de graves conséquences. Si nécessaire, un accès sécurisé aux coquilles doit être fourni ; au lieu d'exposer la ressource aux menaces sur Internet, une connexion VPN compatible MFA doit être déployée et les réseaux segmentés pour des besoins spécifiques, plutôt que d'autoriser l'accès à de vastes réseaux IP.
En savoir plus sur le blog sur Barracuda.com
[idboîteétoile=5]