P2P: Botnetzwerk bietet Anonymisierungsdienst an

Rund 9.000 gehackte Geräte sind Teil des Botnetzwerkes Interplanetary Storm. Laut einer Analyse der Sicherheitsfirma Bitdefender könnte deren Betreiberteam das Botnetzwerk als kostenpflichtigen Anonymisierungsdienst verwenden. Über einen Socks5-Proxy kann eine Verbindung zu den weltweit verteilten Bots hergestellt werden, bei denen es sich vornehmlich um Android-Geräte handelt.

Die Bots dienen demnach als Basis für das Peer-to-Peer-Netzwerk (P2P), das wiederum als Proxy verwendet wird. "Sechs spezialisierte Knoten sind Teil der Verwaltungsinfrastruktur und für die Überprüfung der Knotenverfügbarkeit, die Verbindung zu Proxy-Knoten, das Hosting des Web-API-Dienstes, das Signieren autorisierter Nachrichten und sogar für das Testen der Malware in der Entwicklungsphase verantwortlich", schreibt Bitdefender in seiner Analyse.

Der Dienst werde nicht im Darknet angeboten, sondern über eine herkömmliche Webseite im Clearnet, auf der vier verschiedene Tarife gebucht werden könnten, erklärt Bitdefender. Diese böten Abonnements, die nach der Anzahl der gleichzeitigen TCP-Verbindungen gestaffelt sind.

Botnetz-Proxy im Abo

Das Betreiberteam verlangt demzufolge zwischen 74 und 259 US-Dollar pro Monat für 150 bis 3.000 gleichzeitige Verbindungen. Daneben werden auch Stundentarife sowie ein Premium-Paket für 499 US-Dollar angeboten, das zudem "den Zugriff auf die gesamte Infrastruktur des Live-Opfers zu beinhalten scheint", erklärt Bitdefender. "Jede Stunde haben wir etwa 3-10 Prozent neue IPs," behauptet das Betreiberteam laut Bitdefender in den FAQs auf ihrer Webseite.

In der aktuellen Iteration befällt die Schadsoftware vornehmlich Android-Geräte und selten Linux-Rechner (rund ein Prozent) über ungesicherte ADB-Server oder aus dem Internet erreichbare SSH-Server mit schwachen Zugangsdaten.

Die Schadsoftware ist in der Programmiersprache Go geschrieben. Neben den Protokollen NTP, UPnP und Socks5 verwendet die Software die lib2p-Bibliothek für Peer-to-Peer-Funktionalität. "Im Vergleich zu anderer Golang-Malware, die wir in der Vergangenheit analysiert haben, ist Interplanetary Storm aufgrund des Zusammenspiels seiner Module und der Art und Weise, wie es die lib2p-Konstrukte nutzt, bemerkenswert in seinem komplexen Design", heißt es in dem Bericht. Die Gruppe hinter dem Botnetz beherrsche Go.