Bigpanzi robottīkls
Iepriekš neidentificēta kibernoziedznieku organizācija, saukta par Bigpanzi, ir guvusi ievērojamu peļņu, apdraudot Android TV un eCos televizora pierīces visā pasaulē vismaz kopš 2015. gada. Pēc pētnieku domām, šī apdraudējuma grupa pārvalda plašu robottīklu, kurā ir aptuveni 170 000 ikdienas aktīvo robotu. Jo īpaši kopš augusta pētnieki ir identificējuši 1,3 miljonus unikālu IP adrešu, kas saistītas ar robottīklu, un lielākā daļa no tām atrodas Brazīlijā. Bigpanzi izmanto tādas metodes kā ierīču inficēšana, izmantojot programmaparatūras atjauninājumus vai manipulācijas ar lietotājiem, lai viņi neapzināti instalētu apdraudētas lietotnes.
Šīs infekcijas kalpo kā ienākumu avots kibernoziedzniekiem, kuri pārveido uzlauztās ierīces par mezgliem dažādām nelikumīgām darbībām, tostarp nelegālām multivides straumēšanas platformām, trafika starpniekservera tīkliem, izplatītā pakalpojuma atteikuma (DDoS) bariem un OTT (over-The-Top) satura nodrošināšanai. .
Satura rādītājs
Bigpanzi robottīkla darbība izvieto papildu ļaunprātīgas programmatūras draudus
Bigpanzi veiktajā kibernoziedzības operācijā tiek izmantoti divi pielāgoti ļaunprātīgas programmatūras rīki, kas pazīstami kā "pandoraspear" un "pcdn".
Pandoraspear darbojas kā aizmugures Trojas zirgs, pārņem DNS iestatījumu kontroli, izveido saziņu ar komandu un vadības (C2) serveri un izpilda komandas, kas saņemtas no C2 servera. Ļaunprātīga programmatūra atbalsta virkni komandu, ļaujot tai manipulēt ar DNS iestatījumiem, ierosināt DDoS uzbrukumus, pašatjaunināties, izveidot reversās čaulas, pārvaldīt saziņu ar C2 un izpildīt patvaļīgas OS komandas. Lai izvairītos no atklāšanas, Pandoraspear izmanto sarežģītas metodes, piemēram, modificētu UPX apvalku, dinamisko saiti, OLLVM kompilāciju un pretatkļūdošanas mehānismus.
No otras puses, PCdn tiek izmantots, lai izveidotu vienādranga (P2P) satura izplatīšanas tīklu (CDN) inficētajās ierīcēs, un tam ir DDoS iespējas, lai šīs ierīces vēl vairāk izmantotu.
Bigpanzi robottīklam ir globāla sasniedzamība
Maksimālajos laikos Bigpanzi robottīklā ir 170 000 ikdienas robotu, un kopš 2023. gada augusta pētnieki ir identificējuši vairāk nekā 1,3 miljonus atšķirīgu IP, kas saistīti ar robottīklu. Tomēr, ņemot vērā kompromitēto TV kastīšu periodisko darbību un kiberdrošības analītiķu redzamības ierobežojumus, ir ļoti iespējams, ka robottīkla reālais izmērs pārsniedz šos skaitļus. Šķiet, ka pēdējo astoņu gadu laikā Bigpanzi ir darbojies slēpti, diskrēti uzkrājot bagātību. To darbībai attīstoties, ir ievērojami palielinājies paraugu, domēna nosaukumu un IP adrešu skaits.
Pētnieki norāda, ka, ņemot vērā tīkla milzīgo un sarežģītību, viņu atklājumi tikai saskrāpē Bigpanzi patieso būtību. Pagaidām informācijas drošības eksperti nav atklājuši nekādas detaļas par robottīkla darbības attiecināšanu. Tomēr pcdn draudu analīze ir novedusi viņus uz aizdomīgu YouTube kanālu, kas, domājams, atrodas konkrēta uzņēmuma kontrolē.
Infekcijas vektori, ko izmanto draudu aktieri aiz Bigpanzi
Kibernoziedznieku grupa koncentrējas uz Android un eCos platformām, izmantojot trīs atšķirīgas metodes, lai inficētu lietotāju ierīces:
- Pirātisku filmu un TV lietojumprogrammas (Android) : Bigpanzi izmanto pirātiskās lietojumprogrammas, kas saistītas ar filmām un TV pārraidēm Android ierīcēs. Lietotāji neapzināti lejupielādē un instalē šīs draudošās lietojumprogrammas, nodrošinot robottīkla ieejas punktu ierīču kompromitēšanai.
- Vispārējā OTA programmaparatūra ar aizmugures durvīm (Android) : cita metode ietver manipulācijas ar bezvadu (OTA) programmaparatūras atjauninājumiem Android ierīcēs. Kibernoziedznieki šajos atjauninājumos ievieš aizmugures durvis, ļaujot viņiem izmantot ievainojamības instalēšanas procesa laikā un iegūt nesankcionētu piekļuvi ierīcēm.
- Programmaparatūra ar aizmugures durvīm “SmartUpTool” (eCos) : ierīcēm, kas darbojas eCos platformā, Bigpanzi mērķauditorija ir noteikta programmaparatūra ar nosaukumu “SmartUpTool”. Kibernoziedznieki apdraud šo programmaparatūru, ieviešot aizmugures durvis, ļaujot viņiem iefiltrēties un kontrolēt ierīces, kuras darbina eCos.
Izmantojot šīs trīs metodes, Bigpanzi nodrošina daudzveidīgu uzbrukumu vektoru klāstu, izmantojot nenojaušos lietotājus, kuri iesaistās pirātiskā saturā vai atjaunina savas ierīces, izmantojot kompromitētu programmaparatūru.
