Bigpanzi Botnet
Aiemmin tunnistamaton kyberrikollisjärjestö, nimeltään "Bigpanzi", on tuottanut huomattavia voittoja vaarantamalla Android TV:n ja eCos-digisovittimet maailmanlaajuisesti ainakin vuodesta 2015 lähtien. Tutkijoiden mukaan tämä uhkaryhmä hallinnoi laajaa bottiverkkoa, joka sisältää noin 170 000 päivittäistä aktiivista robottia. Elokuusta lähtien tutkijat ovat tunnistaneet 1,3 miljoonaa yksilöllistä IP-osoitetta, jotka on yhdistetty botnet-verkkoon, joista suurin osa sijaitsee Brasiliassa. Bigpanzi käyttää menetelmiä, kuten laitteiden tartuttamista laiteohjelmistopäivitysten avulla tai käyttäjien manipulointia asentamaan vaarantuneita sovelluksia tietämättään.
Nämä tartunnat toimivat tulonlähteenä verkkorikollisille, jotka muuttavat vaarantuneet laitteet solmuiksi eri laittomiin toimiin, mukaan lukien laittomat median suoratoistoalustat, liikenteen välitysverkot, hajautetut palvelunestoparvet (DDoS) ja Over-The-Top (OTT) -sisällön tarjoaminen. .
Sisällysluettelo
Bigpanzi Botnet -operaatio ottaa käyttöön muita haittaohjelmauhkia
Bigpanzin suorittama kyberrikosoperaatio käyttää kahta räätälöityä haittaohjelmatyökalua, jotka tunnetaan nimellä "pandoraspear" ja "pcdn".
Pandoraspear toimii takaoven troijalaisena, joka ottaa haltuunsa DNS-asetukset, muodostaa yhteyden Command and Control (C2) -palvelimeen ja suorittaa C2-palvelimelta vastaanotettuja komentoja. Haittaohjelma tukee useita komentoja, joiden avulla se voi manipuloida DNS-asetuksia, käynnistää DDoS-hyökkäyksiä, päivittää itsensä, luoda käänteisiä kuoria, hallita kommunikaatiota C2:n kanssa ja suorittaa mielivaltaisia käyttöjärjestelmäkomentoja. Välttääkseen havaitsemisen Pandoraspear käyttää kehittyneitä tekniikoita, kuten muokattua UPX-kuorta, dynaamista linkitystä, OLLVM-kokoelmaa ja virheenkorjausmekanismeja.
Toisaalta PCdn:ää käytetään P2P (Peer-to-Peer) -sisällönjakeluverkon (CDN) rakentamiseen tartunnan saaneille laitteille, ja sillä on DDoS-ominaisuudet näiden laitteiden aseistamiseen edelleen.
Bigpanzi-botnetillä on maailmanlaajuinen ulottuvuus
Ruuhka-aikoina Bigpanzi-bottiverkossa on 170 000 päivittäistä bottia, ja elokuusta 2023 lähtien tutkijat ovat tunnistaneet yli 1,3 miljoonaa erillistä IP-osoitetta, jotka liittyvät botnet-verkkoon. Kuitenkin vaarantuneiden TV-ruutujen ajoittain tapahtuvan toiminnan ja kyberturvallisuusanalyytikoiden näkyvyyden rajoitusten vuoksi on erittäin todennäköistä, että botnetin todellinen koko ylittää nämä luvut. Viimeisten kahdeksan vuoden aikana Bigpanzi näyttää toimineen salaisesti ja kerännyt omaisuutta huomaamattomasti. Niiden toiminnan edetessä näytteiden, verkkotunnusten ja IP-osoitteiden määrä on lisääntynyt huomattavasti.
Tutkijat ehdottavat, että verkoston valtavuuden ja monimutkaisuuden vuoksi heidän havainnot vain raaputtavat pintaa siitä, mitä Bigpanzi todella sisältää. Tietoturvaasiantuntijat eivät ole toistaiseksi paljastaneet yksityiskohtia botnet-toiminnan vaikuttamisesta. PCdn-uhan analyysi on kuitenkin johtanut epäilyttävälle YouTube-kanavalle, jonka uskotaan olevan tietyn yrityksen hallinnassa.
Bigpanzin takana olevien uhkatoimijoiden hyödyntämät infektiovektorit
Kyberrikollisryhmä keskittyy Android- ja eCos-alustoihin hyödyntäen kolmea eri menetelmää käyttäjien laitteiden tartuttamiseen:
- Piraattielokuva- ja TV-sovellukset (Android) : Bigpanzi hyödyntää elokuviin ja TV-ohjelmiin liittyviä piraattisovelluksia Android-laitteissa. Käyttäjät lataavat ja asentavat tietämättään näitä uhkaavia sovelluksia, jotka tarjoavat botnetille pääsyn laitteiden vaarantamiseen.
- Takaovinen yleinen OTA-laiteohjelmisto (Android) : Toinen tapa on manipuloida Android-laitteiden (OTA) laiteohjelmistopäivityksiä. Kyberrikolliset tuovat näihin päivityksiin takaovia, joiden avulla he voivat hyödyntää haavoittuvuuksia asennuksen aikana ja päästä luvatta käsiksi laitteisiin.
- Takaovinen "SmartUpTool"-laiteohjelmisto (eCos) : eCos-alustalla toimiville laitteille Bigpanzi kohdistaa tiettyyn "SmartUpTool"-nimiseen laiteohjelmistoon. Kyberrikolliset vaarantavat tämän laiteohjelmiston ottamalla käyttöön takaovia, joiden avulla he voivat tunkeutua ja hallita eCosin käyttämiä laitteita.
Käyttämällä näitä kolmea menetelmää Bigpanzi varmistaa monenlaisia hyökkäysvektoreita hyödyntäen pahaa-aavistamattomia käyttäjiä, jotka ovat tekemisissä piraattisisällön kanssa tai päivittävät laitteitaan vaarantuneen laiteohjelmiston kautta.
