Το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε σήμερα ότι το Ομοσπονδιακό Γραφείο Ερευνών απέσυρε το δίκτυο και την
υποδομή
μιας υπηρεσίας διακομιστή μεσολάβησης botnet που ονομάζεται IPStorm.
Το IPStorm επέτρεψε στους εγκληματίες του κυβερνοχώρου να εκτελούν ανώνυμα κακόβουλη κυκλοφορία μέσω συσκευών Windows, Linux, Mac και Android σε όλο τον κόσμο.
Σε σχέση με την υπόθεση, ο Σεργκέι Μακίνιν, Ρωσο-Μολδαβός υπήκοος, ομολόγησε την ενοχή του σε τρεις κατηγορίες που σχετίζονται με απάτη στον υπολογιστή και αντιμετωπίζει πλέον μέγιστη ποινή φυλάκισης 10 ετών.
Η ανακοίνωση του Υπουργείου Δικαιοσύνης περιγράφει το IPStorm ως ένα proxy botnet που επιτρέπει σε εγκληματίες του κυβερνοχώρου, απατεώνες και άλλους, να αποφύγουν τα μπλοκ και να παραμείνουν ανώνυμοι διοχετεύοντας την επισκεψιμότητά τους μέσω χιλιάδων παραβιασμένων συσκευών στα σπίτια ή τα γραφεία των ανθρώπων.
Εκτός από το ότι έγιναν εν αγνοία τους και ακούσια διευκολυντές του εγκλήματος στον κυβερνοχώρο, τα θύματα του IPStorm υπέστησαν τις συνέπειες της κλοπής του εύρους ζώνης του δικτύου τους από κακόβουλους παράγοντες και κινδύνευαν να λάβουν πιο επικίνδυνα ωφέλιμα φορτία ανά πάσα στιγμή.
Η υπηρεσία μεσολάβησης της Makinin προσφέρθηκε μέσω των ιστοσελίδων «proxx.io» και «proxx.net», όπου διαφημιζόταν ότι παρείχε πάνω από 23.000 ανώνυμους πληρεξούσιους παγκοσμίως.
«Σύμφωνα με δικαστικά έγγραφα, τουλάχιστον από τον Ιούνιο του 2019 έως τον Δεκέμβριο του 2022, ο Makinin ανέπτυξε και ανέπτυξε
κακόβουλο λογισμικό
για να χακάρει χιλιάδες συσκευές συνδεδεμένες στο Διαδίκτυο σε όλο τον κόσμο, συμπεριλαμβανομένου του Πουέρτο Ρίκο», αναφέρεται στην ανακοίνωση του Υπουργείου Δικαιοσύνης των ΗΠΑ.
“Ο κύριος σκοπός του botnet ήταν να μετατρέψει τις μολυσμένες συσκευές σε διακομιστή μεσολάβησης ως μέρος ενός κερδοσκοπικού συστήματος, το οποίο καθιστούσε διαθέσιμη την πρόσβαση σε αυτούς τους διακομιστή μεσολάβησης μέσω των ιστότοπων της Makinin, proxx.io και proxx.net” –
Υπουργείο Δικαιοσύνης των ΗΠΑ
Ο Makinin παραδέχτηκε ότι είχε κέρδος τουλάχιστον 550.000 $ από τις υπηρεσίες proxy που πούλησε σε άλλους και συμφώνησε να χάσει πορτοφόλια κρυπτονομισμάτων που κατείχαν τα έσοδα του εγκλήματος.
Η επιχείρηση επιβολής του νόμου για την αποσυναρμολόγηση του botnet IPStorm δεν έχει επεκταθεί στους υπολογιστές των θυμάτων.
Εξελίσσεται από το 2019
Τεχνικές λεπτομέρειες για τη λειτουργία του IPStorm και των παραλλαγών του είναι διαθέσιμες σε μια αναφορά
έκθεση της Intezer
ο οποίος βοήθησε το FBI με πληροφορίες σχετικά με την επιχείρηση εγκλήματος στον κυβερνοχώρο, που δημοσιεύθηκε αρχικά τον Οκτώβριο του 2020.
Το IPStorm ξεκίνησε ως κακόβουλο
λογισμικό
στόχευσης των Windows που αργότερα εξελίχθηκε για να στοχεύει αρχιτεκτονικές Linux, συμπεριλαμβανομένων συσκευών IoT που βασίζονται σε Android.
Οι συγγραφείς του ακολούθησαν μια αρθρωτή προσέγγιση σχεδίασης με διαφορετικά πακέτα Golang που προσφέρουν ένα σύνολο αποκλειστικών λειτουργιών, διατηρώντας το λιτό και ευέλικτο σε μια σειρά συστημάτων στόχων.
Το κακόβουλο λογισμικό χρησιμοποίησε το ομότιμο δίκτυο InterPlanetary File System (IPFS) για να κρύψει τις κακόβουλες δραστηριότητές του και να αντισταθεί στις προσπάθειες κατάργησης της υποδομής. Διέθετε SSH brute-forcing για εξάπλωση σε γειτονικά συστήματα, διαφυγή ιών και μηχανισμούς επιμονής.
Μέσω αυτής της υποδομής, οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να χρησιμοποιήσουν χιλιάδες συστήματα για να δρομολογήσουν την κυκλοφορία και έτσι να κρύψουν τα ίχνη τους. Η τιμή πρόσβασης στο δίκτυο IPStorm θα μπορούσε να φτάσει τις εκατοντάδες δολάρια το μήνα.
Στην έρευνα συμμετείχαν πολλές οργανώσεις επιβολής του νόμου, συμπεριλαμβανομένης της Ομάδας Κυβερνοεπιθέσεων της Εθνικής Αστυνομίας της
Ισπανία
ς, της Εθνικής Δομινικανής Αστυνομίας-Διεθνούς Διεύθυνσης Οργανωμένου Εγκλήματος και του Υπουργείου Εσωτερικών και της Διεύθυνσης Αστυνομίας-Μετανάστευσης.
VIA:
bleepingcomputer.com