بات‌نت IPStorm اولین بار سال گذشته در حال هدف گرفتن سیستم‌های ویندوزی مشاهده شد. اکنون این بات‌نت قابلیت نفوذ به سایر پلتفرم‌ها مثل اندروید، لینوکس و تجهیزات مک را نیز پیدا کرده است.

در ماه مه 2019 IPStorm حدود 3000 سیستم را آلوده کرده بود. اما در ماه جاری تعداد سیستم‌های آلوده به حدود چهار برابر یعنی 13500 رسیده است. گسترش این بات‌نت به پلتفرم‌های جدید و ویژگی‌ها و قابلیت‌های منحصر به فردش باعث می‌شود آن را یکی از خطرناک‌ترین بات‌نت‌های حال حاضر بدانیم.

تاریخچه IPStorm

این بات‌نت اولین بار در مه 2019 مشاهده شد و در ماه ژوئن شرکت آنومالی در گزارشی به آن پرداخت. در آن هنگام IPStorm تنها سیستم‌های ویندوزی را هدف قرار می‌داد. در زمان کشف، محققان امنیتی ویژگی‌های منحصر به فردی را در آن یافتند. به عنوان مثال اسم کامل بدافزار Inter-planetary storm (طوفان بین سیاره‌ای) از اسم Inter-Planetary File System (IPFS) یا سیستم فایل بین سیاره‌ای گرفته شده است، زیرا بدافزار از این سیستم فایلی برای برقرار ارتباط با سیستم‌های آلوده و ارسال فرمان به آن‌ها استفاده می‌کند.

IPFS یک سیستم فایل همتا به همتای نامتمرکز است که می‌تواند برای میزبانی انواع فایل‌ها به کار رود. استفاده از IPFS به بدافزار امکان می‌دهد خود را درون یک شبکه مجاز همتا به همتا مخفی کند. ویژگی دیگر بدافزار این است که به زبان گو (Go) نوشته شده است که در سال 2019 چندان در بدافزارها استفاده نمی‌شد.

طبق گزارش ژوئن 2019 بیت دیفندر و گزارش اخیر باراکودا، این دو کمپانی نسخه‌های جدیدی از IPStorm را کشف کرده‌اند که پلتفرم‌هایی به غیر از ویندوز مثل اندروید، لینوکس و مک را آلوده می‌کنند. این بات‌نت برای یافتن اهداف اندرویدی اینترنت را به دنبال دستگاه‌هایی جستجو می‌کند که پورت ADB (Android Debug Bridge) آن‌ها قابل دسترسی است. برای نفوذ به سیستم‌های مک و لینوکس نیز روی سرویس SSH آن‌ها حمله دیکشنری را اجرا می‌کند.

پس از آنکه IPStorm به سیستم وارد شد، معمولاً به دنبال نرم‌افزارهای تله عسل (هانی پات) می‌گردد، سپس خود را در برابر بوت پایدار می‌کند (تا با ریبوت سیستم متوقف نشود) و پردازه‌هایی که ممکن است مانع عملیاتش شوند را نابود می‌کند.

هدف IPStorm چیست؟

در نهایت مجرمان چه استفاده‌ای از این بات‌نت می‌کنند؟ دو نوع استفاده مشاهده شده‌اند: کلاهبرداری در پلتفرم بازی استیم (Steam) و شبیه‌سازی کلیک روی آگهی‌ها.

استیم یک سرویس بازی رایانه‌ای محبوب است که صدها میلیون کاربر در سراسر جهان از آن استفاده می‌کنند. استیم یک API برای توسعه‌دهندگانی ارائه داده است که می‌خواهند از داده‌های استیم در وب‌سایت خود استفاده کنند. کاربران می‌توانند اقلام درون بازی مثل اسلحه و… را خرید و فروش کنند. محبوبیت این پلتفرم به قدری است که به هدفی جذاب برای مجرمان سایبری تبدیل شده است. یکی از روش‌های مهاجمان این است که با ساخت وب‌سایت فیشینگ نام کاربری و گذرواژه کاربران را سرقت می‌کنند و در نتیجه دسترسی کاملی به اکانت آن‌ها پیدا می‌کنند.

مشاهده شده است که IPStorm حجم زیادی از داده را به API استیم می‌فرستد و با استفاده از کلیدهای API مجاز، داده‌های مربوط به کاربران را استخراج می‌کند. به گفته محققان Intezer، احتمالاً این‌ها اکانت‌هایی هستند که سرقت شده‌اند و به منظور انجام معامله کلاهبردارانه در حال رصد شدن هستند.

کار دیگر بدافزار این است که کلیک روی تبلیغات را شبیه‌سازی می‌کند. بدافزار در بین وب‌سایت‌های از پیش تعیین شده می‌خزد و به دنبال iframeهای حاوی تبلیغات می‌گردد و روی آن‌ها کلیک می‌کند.