比特梵德安全研究人員在周四發布的一份報告中寫道，“星際風暴”（Interplanetary Storm）正在利用P2P網絡、尤其是那些運行Android移動操作系統的設備。在被該殭屍網絡感染的大約9000台設備設備中，還有運行Linux和Darwin操作系統的節點。幕後攻擊者主要藉此來創建盈利性的代理服務，以在互聯網上隱匿自身的痕跡。

IPStorm感染設備分佈（來自：BitDefender）

BitDefender 研究人員收集到的核心證據，包括作為管理基礎架構（其中一部分）的六個專用節點，它們能夠：

● 可通過ping 其它節點來證明可用性的代理後端；

● 可連接至一個代理節點的檢查器；

● 可分發掃描和暴力指令的管理器；

● 負責託管Web API 的後端接口；

● 使用加密密鑰驗證其它設備、並簽署授權消息的節點；

● 以及用於後續拓展的目標開發節點。

此外為了避免在惡意軟件的開發測試階段就被發現，幕後黑手還保持得相當低調。不過BitDefender 研究人員猜測，這些殭屍網絡不僅可以作為代理節點，還可能被用於匿名服務的提供方。

報告截圖（來自：BitDefender）

當然，這不是BitDefender 首次發現此類殭屍網絡。因為早在2008 年，就已經有各種記錄在案。有趣的是，這回他們發現的匿名代理，並不是在暗網論壇上發布、而是在“明網”上亮的相。

與我們過去分析過的其它Golang 惡意軟件相比，’星際風暴’模塊之間的相互作用、以及對libp2p 構造方式的利用，使之顯得很有辨識度。

該殭屍網絡的幕後威脅操縱者，顯然對Golang 相當精通。一旦運行，代碼將會對IPFS 節點進行初始化，然後啟動一系列的輕量級線程。

這些被稱作Goroutines 的線程，又會實現每個主要的子例程。此外除了一些常見的特徵，它還會生成一個2048 位的RSA 密鑰對，用於IPFS 節點的唯一標識。

引導過程開啟後，受控節點將可被IPFS 網絡上的其它節點訪問到。節點之間採用了lib2p 的通信組件，除了匿名代理服務，還可分享更新用的惡意二進製文件。

（GitHub 截圖）

截至目前，BitDefender 已經發現了100 多次代碼修訂，意味著IPStorm 保持著活躍狀態，且幕後設計者對其極為看重。

從受感染的大約9000 台設備類型來看，其中絕大多數都運行著Android 操作系統，只有大約1% 為Linux，以及據說只有一台運行Darwin 的計算機。

根據操作系統版本和主機/用戶名來判斷，BitDefender認為路由器、網絡附加存儲（NAS）、機頂盒、多功能開發板和微控制器（比如樹莓派）構成了IPStorm殭屍網絡的主要部分。

綜上所述，對於物聯網（IoT）設備用戶來說，還請在非必要的情況下切斷互聯網、更改默認密碼、甚至直接禁用遠程管理訪問端口。