雲端安全解決方案供應商 Barracuda 在最新發表的《焦點報告》中提及,針對物聯網(IoT)裝置的新型惡意軟 Interplanetary Storm(IPStorm) 已出現變種,不單影響 Windows 和 Linux 系統設備,現在亦針對 Mac 和 Android 裝置,呼籲各界小心。
Barracuda 指出,操控 IPStorm 惡意軟件的網絡犯罪集團已釋出新變種,影響包括 Windows 、Linux、Mac 和 Android 的裝置。該惡意軟件會製造殭屍網絡,Barracuda 研究員估計現時全球大概有 84 個國家或地區的 13,500 個系統設備遭到感染,數目正不斷增加,大部分位於亞洲,其中香港受感染的設備佔 27%、南韓佔 17%、台灣佔 15%。
報告顯示,IPStorm 的新變種使用 Go 編寫,採用 Go implementation of libp2p,並與 UPX 包裝在一起,能使用 SSH 暴力攻擊(brute-force)和開放的 ADB 端口傳播,將惡意軟件檔案感染網絡中其他節點。這個惡意軟件更具有反向 Shell 功能,以及可以運行 Bash Shell。
IPStorm 新型變種亦與另一種點對點(P2P)的惡意軟件 FritzFrog 相似,都是經由對 SSH 伺服器發動字典攻擊(Dictionary Attack)進入系統設備,可經由開放的 Android Debug Bridge(Android 調試橋)伺服器取得進入途徑。這個惡意軟件會偵測受感染系統設備的中央處理器結構和操作系統,亦可在常見於路由器和物聯網裝置上運行的 ARM 架構(ARM-based)電子設備。
Barracuda 的研究員強調,這個惡意軟件所建立的殭屍網絡還沒有清晰的功能,但它為幕後操作者提供進入受感染系統設備的一道後門,令操作者往後可進行加密挖礦、分布式拒絕服務攻擊(DDoS)或其他大規模的攻擊。
對於防禦新型變種惡意軟件方法,Barracuda 認為可在所有裝置上正確設定 SSH 訪問權限,例如使用驗證碼代替密碼會更安全。當用戶使用密碼登入時,惡意軟件就可利用設定不當的部份進行攻擊。這是路由器和物聯網裝置常見的問題,因此很容易成為該惡意軟件的目標。其次是使用雲端安全管理工具檢測 SSH 訪問權限,以防設定錯誤導致的災難性後果。如有需要,提供額外的外層保障,與其將資源暴露在互聯網,不如部署啟用 MFA 的 VPN 連接,並按特定需要劃分網絡區隔,而非對 IP 網絡廣泛地授予訪問權限。