IPStorm: una botnet al servicio del mejor postor

IPStorm (Interplanetary Storm) podría ser el más reciente ejemplo de ello, así como una muestra de que, en ocasiones, y tras la mano ejecutora de los ciberataques, existen motivaciones diferentes de la pura extorsión y el robo que suelen practicar los ciberdelincuentes. Motivaciones como el espionaje y el sabotaje, los intentos de interferir en procesos para deslegitimizar su resultado, etcétera.

Detectada por primera vez en junio de 2019, la botnet IPStorm opera principalmente en Asia, si bien se han detectado acciones en otros lugares del mundo, España entre ellos. Desde mayo de este año, al hilo de una campaña llevada a cabo con la misma y que pudo ser detectada por los honeypots de Bitdefender, la compañía de ciberseguridad ha llevado a cabo una completa investigación de la misma, y la principal conclusión es que IPStorm podría ser ofertada como red proxy anónima para la comisión de actividades ilícitas.

En este periodo de tiempo los investigadores han comprobado que los responsables de IPStorm actualizan el malware de manera constante. Algunas de estas acciones van dirigidas, claro, a mejorar su efectividad, pero también han añadido otras funciones con el fin de hacerlo parecer inofensivo al generar tráfico no relacionable con sus actividades delictivas. Intentar enmascarar las acciones maliciosas entre un conjunto mayor de otras presuntamente legítimas es una técnica que, en casos, provoca que al analizar el conjunto de tráfico, erróneamente se identifique la fuente del mismo como benigna.

La última revisión del malware de IPStorm ataca sistemas basados en Unix y Linux (lo que, entre otros, también incluye Android) con servidor SSH con credenciales débiles, así como servidores ADB (Android Debug Bridge) inseguros. Una vez en los mismos, crea una puerta trasera (backdoor), obtiene los permisos necesarios para poder ejecutar comandos de shell y, como es común en estas redes, se suma a la botnet en la búsqueda de nuevos sistemas para comprometer su seguridad. Todo, claro, a la espera de órdenes por parte de los servidores de comando y control que, en cualquier momento, pueden tomar el control de la red.

Al concluir la investigación, cuyo informe puedes leer aquí, Bitdefender ha determinado que el objetivo principal de la botnet es convertir los dispositivos infectados en proxies como parte de un plan con fines lucrativos, que pasaría por ofrecer a terceros los servicios de la misma. De confirmarse esta conclusión, aquí tendríamos un ejemplo más de que la modalidad as a service tiene bastante recorrido también en el mundo del cibercrimen, y que al igual que ya ocurre desde hace años con las herramientas «point and click» para crear patógenos, cada vez es menos necesario tener conocimientos técnicos para dirigir un ataque.