Vairāku licenču atlaides piedāvājums
Draudu datu bāze Bottīkli Kimwolf botneta kampaņa

Kimwolf botneta kampaņa

Līdz Mezo. gadam Bottīkli. gadā
Tulkot uz:

Drošības pētnieki ir atklājuši milzīgu Android platformām paredzētu botnetu ar nosaukumu Kimwolf, kas, izmantojot dzīvojamo māju starpniekservera tīklus, ir apdraudējis vairāk nekā divus miljonus ierīču. Ļaunprogrammatūra pārveido ikdienas patērētāju aparatūru par globālu uzbrukuma platformu, nemanāmi novirzot ļaunprātīgu datplūsmu un nodrošinot liela mēroga izkliedētas pakalpojuma atteikšanas (DDoS) operācijas. Novērojumi liecina par aptuveni 12 miljoniem unikālu IP adrešu katru nedēļu, kas uzsver šīs operācijas ārkārtējo mērogu.

Izcelsme, evolūcija un saikne ar AISURU

Kimwolf pirmo reizi publiski tika analizēts 2025. gada decembrī , kad izmeklētāji atklāja spēcīgas tehniskas un infrastruktūras saites ar citu botnetu ar nosaukumu AISURU. Pierādījumi liecina, ka Kimwolf ir aktīvs vismaz kopš 2025. gada augusta un atspoguļo uz Android balstītu AISURU evolūciju. Pētnieki arvien vairāk uzskata, ka šis botnets nodrošināja vairākas rekordlielas DDoS kampaņas, kas tika novērotas pagājušā gada beigās.

Globālā infekcijas pēda un mērķtiecīgas ierīces

Lai gan Kimwolf darbojas visā pasaulē, infekcijas galvenokārt ir koncentrētas Vjetnamā, Brazīlijā, Indijā un Saūda Arābijā. Ievērojama daļa no apdraudētajām sistēmām ir neoficiāli Android viedtelevizori un televizora pierīces, no kurām daudzas tiek piegādātas ar nedrošām noklusējuma konfigurācijām.

Vismaz 67% pievienoto ierīču ir pakļautas neautentificētam Android Debug Bridge (ADB) pakalpojumam, padarot tās pieejamas attālinātai vadībai. Izmeklētāji pieļauj, ka daudzi no šiem produktiem pirms nonākšanas pie patērētājiem ir iepriekš ielādēti ar starpniekservera programmatūras izstrādes komplektiem (SDK), faktiski reģistrējot tos starpniekservera ekosistēmās, kas vēlāk kļūst par ļaunprogrammatūras piegādes kanāliem.

Kā Kimvolfs izplata un saglabā kontroli

Kimwolf operatori paļaujas uz lieliem dzīvojamo māju starpniekservera tīkliem, lai skenētu internetu, meklējot Android ierīces, kurās darbojas neaizsargāti ADB pakalpojumi. Pēc identificēšanas ļaunprogrammatūra tiek attālināti instalēta, pārvēršot ierīci par datplūsmas releja un uzbrukuma mezglu. Galvenā lietderīgā slodze atver klausītāju 40860. portā un izveido izejošo saziņu ar 85.234.91[.]247:1337, no kura tā saņem darbības komandas.

Vēl tikai 2025. gada decembrī infekcijas tika izsekotas līdz starpniekservera IP adresēm, kas tika nomātas no Ķīnā bāzētā IPIDEA — pakalpojumu sniedzēja, kas sevi reklamē kā pasaulē vadošo IP starpniekservera pakalpojumu sniedzēju ar vairāk nekā 6,1 miljonu dienā atjauninātu IP adrešu un 69 000 jaunām adresēm katru dienu. 27. decembrī IPIDEA ieviesa drošības atjauninājumu, kas bloķēja piekļuvi lokālajiem tīkliem un sensitīvām pieslēgvietām pēc tam, kad parādījās pierādījumi, ka uzbrucēji tunelēja caur klientu instalētu starpniekservera programmatūru, lai piekļūtu iekšējām ierīcēm.

Analītiķi šīs metodes radīto atmaskošanu raksturoja kā nepieredzētu, kas miljoniem patērētāju sistēmu pakļāva tieši automatizētai izmantošanai.

Monetizācija: starpniekserveri, lietderīgā slodze un maksas uzbrukumi

Jau no paša sākuma Kimvolfa finansiālie motīvi bija skaidri. Operatori agresīvi komercializēja savu infrastruktūru, pārvēršot kompromitētas ierīces peļņu nesošos aktīvos, izmantojot vairākus kanālus:

  • Mājsaimniecību starpniekservera piekļuves pārdošana, kas tiek reklamēta par lēti tikai 0,20 USD par GB vai aptuveni 1400 USD mēnesī par neierobežotu joslas platumu, kas piesaistīja agrīnu ieviešanu no vairākiem starpniekservera pakalpojumiem.
  • Sekundāro monetizācijas SDK izvietošana, jo īpaši Plainproxies Byteconnect SDK, kas maršrutē maksas starpniekservera uzdevumus no komandu servera uz inficētām ierīcēm, izmantojot 119 īpašus releja serverus.
  • Botneta ļaunprātīga izmantošana kibernoziedzības operācijām, tostarp liela mēroga DDoS aktivitāte un novērotas akreditācijas datu viltošanas kampaņas pret IMAP pakalpojumiem un populārām tiešsaistes platformām.

Iepriekš inficētu TV dekoderu klātbūtne un komerciālu joslas platuma koplietošanas SDK integrācija spēcīgi liecina par dziļāku sadarbību starp botnetu operatoriem un starpniekservera ekonomikas segmentiem.

Aizsardzības pasākumi un riska mazināšana

Lai mazinātu līdzīgus draudus, ir nepieciešama koordinēta rīcība gan pakalpojumu sniedzēju, gan galalietotāju vidē:

  • Starpniekservera tīkliem vajadzētu bloķēt datplūsmu, kas paredzēta RFC 1918 adrešu diapazoniem, neļaujot ārējiem klientiem sasniegt iekšējos privātos tīklus, kuros atrodas patērētāju ierīces.
  • Organizācijām un privātpersonām ir jāatspējo vai jāierobežo neautentificēta ADB piekļuve Android sistēmās, jo īpaši iegultās un lietu interneta stila ierīcēs, kurām bieži vien ir nedroši noklusējuma iestatījumi.

Bez šīm kontrolēm dzīvojamo māju starpniekservera ekosistēmas arī turpmāk nodrošinās ideālu segumu liela mēroga ļaunprogrammatūras izvietošanai un botnetu paplašināšanai.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
29,237
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...