Bigpanzi robotvõrk
Varem tuvastamata küberkuritegelik organisatsioon nimega Bigpanzi on Android TV ja eCosi digibokse ülemaailmselt ohustades teeninud märkimisväärset kasumit vähemalt alates 2015. aastast. Teadlaste sõnul haldab see ohurühm ulatuslikku botnetti, mis koosneb ligikaudu 170 000 igapäevasest aktiivsest robotist. Nimelt on teadlased alates augustist tuvastanud 1,3 miljonit unikaalset botnetiga seotud IP-aadressi, millest enamus asub Brasiilias. Bigpanzi kasutab selliseid meetodeid nagu seadmete nakatamine püsivara värskenduste kaudu või kasutajate manipuleerimine ohustatud rakenduste teadmata installimiseks.
Need nakkused on sissetulekuallikaks küberkurjategijatele, kes muudavad ohustatud seadmed mitmesuguste ebaseaduslike tegevuste jaoks sõlmedeks, sealhulgas ebaseaduslikud meedia voogesituse platvormid, liikluse puhverservervõrgud, hajutatud teenusekeelu (DDoS) sülemid ja OTT (Over-The-Top) sisu pakkumine. .
Sisukord
Bigpanzi robotivõrgu operatsioon juurutab täiendavaid pahavaraohte
Bigpanzi läbiviidav küberkuritegevuse operatsioon kasutab kahte kohandatud pahavara tööriista, mida tuntakse nimetustega "pandoraspear" ja "pcdn".
Pandoraspear toimib tagaukse troojana, haarates DNS-i sätete kontrolli, loob side käsu- ja juhtimisserveriga (C2) ning täidab C2-serverist saadud käske. Pahavara toetab mitmesuguseid käske, võimaldades tal manipuleerida DNS-i sätetega, algatada DDoS-i rünnakuid, end värskendada, luua vastupidiseid kestasid, hallata suhtlust C2-ga ja täita suvalisi OS-i käske. Tuvastamisest kõrvalehoidmiseks kasutab Pandoraspear keerukaid tehnikaid, nagu modifitseeritud UPX-kest, dünaamiline linkimine, OLLVM-i kompileerimine ja silumisvastased mehhanismid.
Pcdn-i kasutatakse seevastu nakatunud seadmetes P2P (P2P) sisujaotusvõrgu (CDN) loomiseks ja sellel on DDoS-i võimalused nende seadmete edasiseks relvastamiseks.
Bigpanzi robotvõrgul on globaalne haare
Tippaegadel on Bigpanzi robotivõrgus 170 000 igapäevast robotit ja alates 2023. aasta augustist on teadlased tuvastanud enam kui 1,3 miljonit erinevat IP-d, mis on robotvõrguga seotud. Kuid telerikastide katkendliku tegevuse ja küberjulgeolekuanalüütikute nähtavuse piirangute tõttu on väga tõenäoline, et botneti tegelik suurus ületab need numbrid. Viimase kaheksa aasta jooksul näib, et Bigpanzi on tegutsenud varjatult, kogudes varandust diskreetselt. Nende tegevuse edenedes on näidiste, domeeninimede ja IP-aadresside märkimisväärne hulk.
Teadlased viitavad sellele, et võrgu tohutut ja keerukust arvestades kriibivad nende leiud Bigpanzi tegelikku sisu. Seni pole infoturbeeksperdid botneti operatsiooni omistamise kohta üksikasju avaldanud. PCdn-ohu analüüs on aga viinud nad kahtlasele YouTube'i kanalile, mis arvatakse olevat konkreetse ettevõtte kontrolli all.
Bigpanzi taga seisvate ohunäitlejate poolt ära kasutatud nakkusvektorid
Küberkurjategijate rühmitus keskendub Androidi ja eCosi platvormidele, kasutades kasutajaseadmete nakatamiseks kolme erinevat meetodit:
- Piraatfilmide ja telesaadete rakendused (Android) : Bigpanzi kasutab Android-seadmetes filmide ja telesaadetega seotud piraatrakendusi. Kasutajad laadivad teadmatult alla ja installivad need ähvardavad rakendused, pakkudes botnetile sisenemispunkti, et seadmeid ohustada.
- Tagauksega üldine OTA püsivara (Android) : teine meetod hõlmab Android-seadmete püsivara (OTA) püsivara värskendustega manipuleerimist. Küberkurjategijad lisavad nendesse värskendustesse tagauksed, mis võimaldavad neil installiprotsessi ajal turvaauke ära kasutada ja seadmetele volitamata juurdepääsu saada.
- Tagauksega „SmartUpTool” püsivara (eCos) : eCose platvormil töötavate seadmete puhul sihib Bigpanzi kindlat püsivara nimega „SmartUpTool”. Küberkurjategijad ohustavad seda püsivara, lisades tagauksed, mis võimaldavad neil tungida sisse ja juhtida eCose toiteallikaid.
Neid kolme meetodit kasutades tagab Bigpanzi laia valiku rünnakute vektoreid, kasutades ära pahaaimamatuid kasutajaid, kes tegelevad piraatsisuga või värskendavad oma seadmeid ohustatud püsivara kaudu.
