Một biến thể mới của phần mềm độc hại InterPlanetary Storm đã được phát hiện. Chúng đang nhắm mục tiêu vào các thiết bị chạy hệ điều hành Mac và Android (ngoài Windows và Linux, vốn đã bị các biến thể trước của phần mềm độc hại này tấn công).
Các nhà nghiên cứu cho biết, hiện tại phần mềm độc hại này đang xây dựng một mạng botnet với ước tính khoảng 13.500 máy bị nhiễm tại 84 quốc gia trên toàn thế giới, con số này đang tiếp tục tăng lên. Một nửa số máy bị nhiễm là ở Hồng Kông, Hàn Quốc và Đài Loan. Các hệ thống bị nhiễm khác có tại Nga, Brazil, Mỹ, Thụy Điển và Trung Quốc.
Các nhà nghiên cứu của Barracuda cho biết trong một bản phân tích vào ngày hôm qua (1/10): "Mặc dù hệ thống botnet mà phần mềm độc hại này đang xây dựng chưa có chức năng rõ ràng, nhưng chúng cung cấp cho tin tặc một "cửa hậu" (backdoor) để tiến vào các thiết bị bị nhiễm, từ đó chúng có thể sử dụng cho các cuộc tấn công mã hóa, DDoS hoặc các cuộc tấn công quy mô lớn khác".
Biến thể đầu tiên của InterPlanetary Storm được phát hiện vào tháng 5/2019 và nhắm mục tiêu đến các máy chạy hệ điều hành Windows. Vào tháng 6, một biến thể khác lại nhắm mục tiêu đến các máy Linux cũng đã được báo cáo. Ngoài ra chúng cũng nhắm đến các thiết bị IoT, như tivi chạy trên hệ điều hành Android và các máy tích hợp nền tảng Linux như bộ định tuyến có dịch vụ SSH không được định cấu hình.
Botnet, được viết bằng Go, sử dụng triển khai Go của libp2p, là một khung mạng cho phép người dùng viết các ứng dụng ngang hàng (P2P) phi tập trung. Khung tác vụ này ban đầu là giao thức mạng của hệ thống tệp tin liên hành tinh (IPFS), dựa trên đó các nhà nghiên cứu đặt tên cho phần mềm độc hại này.
Các nhà nghiên cứu cho biết: "Phần mềm độc hại này được gọi là InterPlanetary Storm vì nó sử dụng mạng p2p của Hệ thống tệp liên hành tinh (IPFS) và triển khai libp2p cơ bản. Điều này cho phép các nút bị nhiễm giao tiếp với nhau trực tiếp hoặc thông qua các nút khác (tức là các rơ-le)".
InterPlanetary Storm lây lan thông qua các cuộc tấn công vào các thiết bị có Secure Shell (SSH), một giao thức mật mã mạng để vận hành các dịch vụ mạng một cách an toàn qua một mạng không an toàn. Các nhà nghiên cứu lưu ý rằng điều này tương tự như FritzFrog, một phần mềm độc hại P2P khác. Có một phương pháp lây nhiễm khác là truy cập các cổng Apple Desktop Bus (ADB) đang mở, kết nối các thiết bị tốc độ thấp với máy tính.
Theo các nhà nghiên cứu, phần mềm độc hại phát hiện kiến trúc CPU và hệ điều hành đang chạy của nạn nhân và nó có thể chạy trên các máy tích hợp ARM, một kiến trúc khá phổ biến với bộ định tuyến và các thiết bị IoT khác.