Botnet Bigpanzi
Un'organizzazione criminale informatica precedentemente non identificata, soprannominata "Bigpanzi", genera profitti sostanziali compromettendo Android TV e set-top box eCos a livello globale almeno dal 2015. Secondo i ricercatori, questo gruppo di minacce gestisce una vasta botnet comprendente circa 170.000 bot attivi quotidianamente. In particolare, da agosto, i ricercatori hanno identificato 1,3 milioni di indirizzi IP univoci collegati alla botnet, la maggior parte dei quali si trova in Brasile. Bigpanzi utilizza metodi come infettare i dispositivi tramite aggiornamenti del firmware o manipolare gli utenti inducendoli a installare inconsapevolmente app compromesse.
Queste infezioni fungono da fonte di entrate per i criminali informatici che trasformano i dispositivi compromessi in nodi per varie attività illecite, tra cui piattaforme di streaming multimediale illegali, reti di proxy del traffico, sciami DDoS (Distributed Denial of Service) e fornitura di contenuti Over-The-Top (OTT). .
Sommario
L’operazione botnet Bigpanzi distribuisce ulteriori minacce malware
L'operazione di criminalità informatica condotta da Bigpanzi utilizza due strumenti malware personalizzati noti come "pandoraspear" e "pcdn".
Pandoraspear funziona come un trojan backdoor, prendendo il controllo delle impostazioni DNS, stabilendo una comunicazione con un server di comando e controllo (C2) ed eseguendo i comandi ricevuti dal server C2. Il malware supporta una serie di comandi che gli consentono di manipolare le impostazioni DNS, avviare attacchi DDoS, aggiornarsi automaticamente, creare shell inverse, gestire la comunicazione con C2 ed eseguire comandi arbitrari del sistema operativo. Per eludere il rilevamento, Pandoraspear utilizza tecniche sofisticate, come una shell UPX modificata, collegamento dinamico, compilazione OLLVM e meccanismi anti-debug.
Pcdn, d'altra parte, viene utilizzato per costruire una rete di distribuzione dei contenuti (CDN) peer-to-peer (P2P) su dispositivi infetti e possiede funzionalità DDoS per armare ulteriormente questi dispositivi.
La botnet Bigpanzi ha portata globale
Durante le ore di punta, la botnet Bigpanzi vanta 170.000 bot giornalieri e dall'agosto 2023 i ricercatori hanno identificato oltre 1,3 milioni di IP distinti associati alla botnet. Tuttavia, a causa dell’attività intermittente dei televisori compromessi e delle limitazioni nella visibilità degli analisti di sicurezza informatica, è altamente probabile che la dimensione reale della botnet superi queste cifre. Negli ultimi otto anni Bigpanzi sembra aver operato di nascosto, accumulando ricchezze con discrezione. Con l’avanzare delle loro operazioni, si è verificata una notevole proliferazione di campioni, nomi di dominio e indirizzi IP.
I ricercatori suggeriscono che, data l’enormità e la complessità della rete, le loro scoperte graffiano solo la superficie di ciò che Bigpanzi comporta veramente. Finora gli esperti di sicurezza informatica non hanno fornito dettagli sull'attribuzione dell'operazione botnet. Tuttavia, l'analisi della minaccia pcdn li ha portati su un canale YouTube sospetto, ritenuto sotto il controllo di una determinata azienda.
Vettori di infezione sfruttati dagli attori della minaccia dietro Bigpanzi
Il gruppo di criminali informatici si concentra sulle piattaforme Android ed eCos, utilizzando tre metodi distinti per infettare i dispositivi degli utenti:
- App piratate per film e TV (Android) : Bigpanzi sfrutta applicazioni piratate relative a film e programmi TV sui dispositivi Android. Gli utenti scaricano e installano inconsapevolmente queste applicazioni minacciose, fornendo un punto di ingresso alla botnet per compromettere i dispositivi.
- Firmware OTA generico backdoor (Android) : un altro metodo prevede la manipolazione degli aggiornamenti firmware OTA (over-the-air) sui dispositivi Android. I criminali informatici introducono backdoor in questi aggiornamenti che consentono loro di sfruttare le vulnerabilità durante il processo di installazione e ottenere l'accesso non autorizzato ai dispositivi.
- Firmware "SmartUpTool" (eCos) backdoor : per i dispositivi che funzionano sulla piattaforma eCos, Bigpanzi prende di mira un firmware specifico denominato "SmartUpTool". I criminali informatici compromettono questo firmware introducendo backdoor che consentono loro di infiltrarsi e controllare i dispositivi alimentati da eCos.
Utilizzando questi tre metodi, Bigpanzi garantisce una vasta gamma di vettori di attacco, sfruttando utenti ignari che interagiscono con contenuti piratati o aggiornano i propri dispositivi tramite firmware compromesso.
