Bigpanzi Botnet

ארגון פושעי סייבר שלא זוהה בעבר, שזכה לכינוי 'Bigpanzi', מייצר רווחים ניכרים על ידי פגיעה בממירי Android TV ו-eCos ברחבי העולם מאז לפחות 2015. לפי חוקרים, קבוצת איומים זו מנהלת רשת בוטים נרחבת הכוללת כ-170,000 בוטים פעילים יומיים. יש לציין כי מאז אוגוסט, חוקרים זיהו 1.3 מיליון כתובות IP ייחודיות המקושרות ל-botnet, כאשר רובן נמצאות בברזיל. Bigpanzi משתמשת בשיטות כגון הדבקת מכשירים באמצעות עדכוני קושחה או מניפולציה של משתמשים להתקין אפליקציות שנפגעו מבלי לדעת.

זיהומים אלה משמשים כמקור הכנסה לפושעי סייבר שהופכים מכשירים שנפגעו לצמתים לפעילויות בלתי חוקיות שונות, כולל פלטפורמות הזרמת מדיה לא חוקיות, רשתות פרוקסי תנועה, נחילי מניעת שירות מבוזרת (DDoS) ואספקת תוכן Over-The-Top (OTT) .

מבצע Bigpanzi Botnet פורס איומים נוספים של תוכנות זדוניות

מבצע פשעי הסייבר שנערך על ידי Bigpanzi משתמש בשני כלים מותאמים אישית של תוכנות זדוניות המכונות 'pandoraspear' ו-'pcdn'.

Pandoraspear מתפקד כטרויאני בדלת אחורית, תופס שליטה על הגדרות DNS, יוצר תקשורת עם שרת Command and Control (C2) ומבצע פקודות שהתקבלו משרת C2. התוכנה הזדונית תומכת במגוון פקודות, מה שמאפשר לה לתפעל את הגדרות ה-DNS, ליזום התקפות DDoS, עדכון עצמי, יצירת קליפות הפוכה, לנהל תקשורת עם ה-C2 ולבצע פקודות שרירותיות של מערכת ההפעלה. כדי להתחמק מזיהוי, Pandoraspear משתמשת בטכניקות מתוחכמות, כגון מעטפת UPX שונה, קישור דינמי, קומפילציה של OLLVM ומנגנונים נגד איתור באגים.

Pcdn, לעומת זאת, משמש לבניית רשת הפצת תוכן Peer-to-Peer (P2P) (CDN) במכשירים נגועים ובעל יכולות DDoS להפעלת נשק נוסף של מכשירים אלה.

ל-Bigpanzi Botnet יש טווח הגעה עולמי

בתקופות שיא, הבוטנט Bigpanzi מתגאה ב-170,000 בוטים יומיים, ומאז אוגוסט 2023, חוקרים זיהו למעלה מ-1.3 מיליון כתובות IP נפרדות הקשורות לבוטנט. עם זאת, בשל הפעילות לסירוגין של קופסאות טלוויזיה שנפגעו ומגבלות הנראות של מנתחי אבטחת סייבר, סביר מאוד שהגודל האמיתי של הבוטנט עולה על המספרים הללו. במהלך שמונה השנים האחרונות, נראה שביגפנזי פעל באופן סמוי, וצבר עושר בדיסקרטיות. ככל שהפעילות שלהם התקדמה, חלה ריבוי בולט של דוגמאות, שמות מתחם וכתובות IP.

חוקרים מציעים כי לאור גודלה ומורכבותה של הרשת, הממצאים שלהם רק מגרדים את פני השטח של מה שביגפנזי באמת טומן בחובו. עד כה, מומחי אבטחת מידע לא חשפו כל פרט לגבי ייחוס פעולת הבוטנט. עם זאת, ניתוח של איום pcdn הוביל אותם לערוץ יוטיוב חשוד שלדעתו נמצא בשליטה של חברה מסוימת.

וקטורי זיהום מנוצלים על ידי שחקני האיום שמאחורי ביגפנזי

קבוצת פושעי הסייבר מתמקדת בפלטפורמות אנדרואיד ו-eCos, תוך שימוש בשלוש שיטות שונות להדבקת מכשירי משתמשים:

• יישומי סרטים וטלוויזיה פיראטיים (אנדרואיד) : Bigpanzi ממנפת אפליקציות פיראטיות הקשורות לסרטים ותוכניות טלוויזיה במכשירי אנדרואיד. משתמשים מורידים ומתקינים ללא ידיעה את היישומים המאיימים הללו, מה שמספק נקודת כניסה לרשת הבוטים כדי לסכן את המכשירים.
• קושחת OTA גנרית בדלת אחורית (אנדרואיד) : שיטה נוספת כוללת מניפולציה של עדכוני קושחה דרך האוויר (OTA) במכשירי אנדרואיד. פושעי הסייבר מכניסים דלתות אחוריות לעדכונים אלו, ומאפשרים להם לנצל נקודות תורפה במהלך תהליך ההתקנה ולקבל גישה לא מורשית למכשירים.
• קושחה 'SmartUpTool' בדלת אחורית (eCos) : עבור מכשירים הפועלים על פלטפורמת eCos, Bigpanzi מתמקד בקושחה ספציפית בשם 'SmartUpTool'. פושעי הסייבר מתפשרים על קושחה זו על ידי הצגת דלתות אחוריות, המאפשרות להם לחדור ולשלוט במכשירים המופעלים על ידי eCos.

על ידי שימוש בשלוש השיטות הללו, Bigpanzi מבטיחה מגוון רחב של וקטורי תקיפה, תוך ניצול משתמשים תמימים שעוסקים בתוכן פיראטי או מעדכנים את המכשירים שלהם באמצעות קושחה שנפרצה.