Kimwolf botnetas
Kibernetinio saugumo ekspertai atskleidė didžiulį paskirstytą paslaugų teikimo trikdymo (DDoS) botnetą, žinomą kaip „Kimwolf“, kuris jau užkrėtė daugiau nei 1,8 mln. įrenginių. Tarp jų yra „Android“ pagrindu veikiantys televizoriai, priedėliai ir planšetiniai kompiuteriai. Pirminiai tyrimai rodo galimą ryšį su liūdnai pagarsėjusiu AISURU botnetu. Šis atradimas pabrėžia vis sudėtingesnę į daiktų internetą nukreiptą kenkėjišką programinę įrangą ir pabrėžia kritinį budrumo poreikį apsaugant prijungtus įrenginius.
Turinys
Kimwolfo anatomija
„Kimwolf“ sukurtas naudojant „Native Development Kit“ (NDK) ir apjungia daugybę galimybių, viršijančių tradicines DDoS atakas. Pagrindinės funkcijos:
- Tarpinio serverio peradresavimas
- Atvirkštinė prieiga prie apvalkalo
- Failų tvarkymo funkcijos
Botneto kenkėjiška programa sukurta taip, kad kiekviename įrenginyje būtų vykdomas vienas procesas, iššifruojami įterptieji „Command-and-Control“ (C2) domenai, nustatomas C2 IP adresas naudojant DNS per TLS ir vykdomos iš operatorių gautos komandos.
Rekordinis mastas ir aktyvumas
Vos per tris dienas, nuo 2025 m. lapkričio 19–22 d., „Kimwolf“, kaip pranešama, išdavė 1,7 milijardo DDoS atakų komandų. Vienas iš jos C2 domenų, 14emeliaterracewestroxburyma02132[.]su, netgi trumpam pasirodė tarp „Cloudflare“ 100 populiariausių domenų, laikinai aplenkdamas „Google“.
Pagrindiniai infekcijos taikiniai yra gyvenamųjų namų televizorių priedėliai, tokie kaip:
- TV priedėlis, „SuperBOX“, „HiDPTAndroid“
- P200, X96Q, XBOX, SmartTV, MX10
Geografiškai infekcijos daugiausia paplitusios Brazilijoje, Indijoje, JAV, Argentinoje, Pietų Afrikoje ir Filipinuose, nors tikslus plitimo būdas lieka neaiškus.
Evoliucija ir atsparumas
„Kimwolf“ demonstruoja pažangų prisitaikymą. Jos C2 domenai 2025 m. gruodžio mėn. buvo pašalinti mažiausiai tris kartus, todėl operatoriai, siekdami sustiprinti infrastruktūrą, priėmė „Ethereum Name Service“ (ENS) domenus. Naujausiose kenkėjiškų programų versijose integruota „EtherHiding“ – technika, kuri per išmaniąsias sutartis nuskaito tikrąjį C2 IP adresą ir transformuoja jį XOR operacijų pagalba, todėl domenus pašalinti yra daug sunkiau.
Prisijungimas prie AISURU ir bendros infrastruktūros
Įrodymai sieja Kimwolf su AISURU botnetu, žinomu dėl rekordinių DDoS atakų:
- Abu botnetai tuose pačiuose užkrėstuose įrenginiuose veikė nuo 2025 m. rugsėjo iki lapkričio mėn.
- APK paketų ir kodo pasirašymo sertifikatų panašumai („John Dinglebert Dinglenut VIII VanSack Smith“) rodo bendrą kūrimo kilmę.
- Atsisiuntimo serveris (93.95.112[.]59) patvirtino scenarijų, susijusių su „Kimwolf“ ir „AISURU“ APK failais, buvimą.
Šis ryšys rodo, kad viena įsilaužėlių grupė gali valdyti abu botnetus, siekdama maksimaliai padidinti jų pasiekiamumą ir išvengti aptikimo.
Atakų galimybės ir pajamų gavimas
„Kimwolf“ palaiko 13 skirtingų DDoS atakų metodų per UDP, TCP ir ICMP, taikydamasis į tokias šalis kaip JAV, Kinija, Prancūzija, Vokietija ir Kanada. Įdomu tai, kad daugiau nei 96 % išduotų komandų yra skirtos naudoti užkrėstus mazgus kaip tarpinio serverio paslaugas, o tai rodo stiprų pelno siekį.
Papildomi komponentai, diegiami pažeistuose įrenginiuose, yra šie:
- „Rust“ pagrindu sukurtas „Command Client“ – sukuria tarpinio serverio tinklą
- „ByteConnect SDK“ – padeda kūrėjams ir įrenginių savininkams gauti pajamų iš daiktų interneto srauto
- TLS šifravimas apsaugo visus ryšius, o jautrūs duomenys apie C2 serverius ir DNS sprendiklius taip pat yra šifruojami, taip padidinant operacinį slaptumą.
Platesnis milžiniškų botnetų kontekstas
Nuo „Mirai“ atsiradimo 2016 m. milžiniški daiktų interneto botnetai gerokai išsivystė. Ankstesnės versijos daugiausia buvo nukreiptos į plačiajuosčio ryšio maršrutizatorius ir kameras, tačiau šiuolaikiniai botnetai, tokie kaip „Badbox“, „Bigpanzi“, „Vo1d“ ir „Kimwolf“, vis dažniau daugiausia dėmesio skiria išmaniesiems televizoriams ir televizorių priedėliams, o tai rodo, kad užpuolikai vis labiau domisi didelio pralaidumo vartotojų įrenginiais.
