Bigpanzi Botnet
تحقق منظمة إجرامية إلكترونية لم يتم تحديدها سابقًا، يطلق عليها اسم "Bigpanzi"، أرباحًا كبيرة من خلال اختراق أجهزة فك التشفير Android TV وeCos على مستوى العالم منذ عام 2015 على الأقل. ووفقًا للباحثين، تدير مجموعة التهديد هذه شبكة روبوتات واسعة النطاق تضم حوالي 170.000 روبوت نشط يوميًا. والجدير بالذكر أنه منذ أغسطس، حدد الباحثون 1.3 مليون عنوان IP فريد مرتبط بشبكة الروبوتات، معظمها يقع في البرازيل. يستخدم Bigpanzi أساليب مثل إصابة الأجهزة من خلال تحديثات البرامج الثابتة أو التلاعب بالمستخدمين لتثبيت التطبيقات المخترقة دون علم.
تعمل هذه الإصابات كمصدر دخل لمجرمي الإنترنت الذين يقومون بتحويل الأجهزة المخترقة إلى عقد لمختلف الأنشطة غير المشروعة، بما في ذلك منصات بث الوسائط غير القانونية، وشبكات وكيل حركة المرور، وأسراب رفض الخدمة الموزعة (DDoS)، وتوفير المحتوى عبر الإنترنت (OTT). .
جدول المحتويات
تنشر عملية Bigpanzi Botnet تهديدات إضافية من البرامج الضارة
تستخدم عملية الجرائم الإلكترونية التي تجريها Bigpanzi أداتين مخصصتين للبرامج الضارة تُعرفان باسم "pandoraspear" و"pcdn".
يعمل Pandoraspear كحصان طروادة خلفي، حيث يتحكم في إعدادات DNS، ويقيم اتصالاً مع خادم القيادة والتحكم (C2)، وينفذ الأوامر الواردة من خادم C2. تدعم البرامج الضارة مجموعة من الأوامر، مما يمكنها من التعامل مع إعدادات DNS، وبدء هجمات DDoS، والتحديث الذاتي، وإنشاء أغطية عكسية، وإدارة الاتصال مع C2، وتنفيذ أوامر نظام التشغيل التعسفية. لتجنب الكشف، يستخدم Pandoraspear تقنيات متطورة، مثل غلاف UPX المعدل، والربط الديناميكي، وتجميع OLLVM وآليات مكافحة تصحيح الأخطاء.
من ناحية أخرى، يتم استخدام Pcdn لإنشاء شبكة توزيع محتوى نظير إلى نظير (P2P) (CDN) على الأجهزة المصابة وتمتلك إمكانات DDoS لتسليح هذه الأجهزة بشكل أكبر.
تتمتع شبكة Bigpanzi Botnet بانتشار عالمي
خلال أوقات الذروة، تضم شبكة Bigpanzi الروبوتية 170 ألف روبوت يوميًا، ومنذ أغسطس 2023، حدد الباحثون أكثر من 1.3 مليون عنوان IP مميز مرتبط بشبكة الروبوتات. ومع ذلك، ونظرًا للنشاط المتقطع لصناديق التلفزيون المخترقة والقيود المفروضة على رؤية محللي الأمن السيبراني، فمن المحتمل جدًا أن يتجاوز الحجم الحقيقي لشبكة الروبوتات هذه الأرقام. على مدى السنوات الثماني الماضية، يبدو أن Bigpanzi كان يعمل في الخفاء، حيث قام بجمع الثروة في تكتم. ومع تقدم عملياتهم، كان هناك انتشار ملحوظ للعينات وأسماء النطاق وعناوين IP.
يقترح الباحثون أنه نظرًا لضخامة الشبكة وتعقيدها، فإن النتائج التي توصلوا إليها لا تخدش سوى سطح ما تنطوي عليه Bigpanzi حقًا. وحتى الآن، لم يكشف خبراء أمن المعلومات عن أي تفاصيل تتعلق بإسناد عملية الروبوتات. ومع ذلك، قادهم تحليل تهديد pcdn إلى قناة يوتيوب مشبوهة يعتقد أنها تحت سيطرة شركة معينة.
ناقلات العدوى التي تم استغلالها من قبل الجهات التهديدية وراء Bigpanzi
تركز مجموعة المجرمين الإلكترونيين على منصات Android وeCos، باستخدام ثلاث طرق متميزة لإصابة أجهزة المستخدم:
- تطبيقات الأفلام والتلفزيون المقرصنة (Android) : تستفيد Bigpanzi من التطبيقات المقرصنة المتعلقة بالأفلام والبرامج التلفزيونية على أجهزة Android. يقوم المستخدمون بتنزيل وتثبيت هذه التطبيقات التهديدية عن غير قصد، مما يوفر نقطة دخول لشبكة الروبوتات لاختراق الأجهزة.
- البرامج الثابتة العامة عبر الهواء (OTA) (Android) : تتضمن الطريقة الأخرى معالجة تحديثات البرامج الثابتة عبر الهواء (OTA) على أجهزة Android. يقوم مجرمو الإنترنت بإدخال أبواب خلفية في هذه التحديثات، مما يسمح لهم باستغلال نقاط الضعف أثناء عملية التثبيت والحصول على وصول غير مصرح به إلى الأجهزة.
- البرامج الثابتة "SmartUpTool" ذات الأبواب الخلفية (eCos) : بالنسبة للأجهزة التي تعمل على منصة eCos، يستهدف Bigpanzi برنامجًا ثابتًا محددًا يسمى "SmartUpTool". يقوم مجرمو الإنترنت باختراق هذه البرامج الثابتة عن طريق إدخال أبواب خلفية، مما يمكنهم من التسلل والتحكم في الأجهزة التي تدعمها eCos.
ومن خلال استخدام هذه الأساليب الثلاث، تضمن Bigpanzi مجموعة متنوعة من نواقل الهجوم، واستغلال المستخدمين المطمئنين الذين يتفاعلون مع محتوى مقرصن أو يقومون بتحديث أجهزتهم من خلال البرامج الثابتة المخترقة.
