Botnet Bigpanzi
Niezidentyfikowana wcześniej organizacja cyberprzestępcza o nazwie „Bigpanzi” generuje znaczne zyski, atakując dekodery Android TV i dekodery eCos na całym świecie co najmniej od 2015 r. Według badaczy ta grupa zagrożeń zarządza rozległym botnetem składającym się z około 170 000 aktywnych botów dziennie. Warto zauważyć, że od sierpnia badacze zidentyfikowali 1,3 miliona unikalnych adresów IP powiązanych z botnetem, z których większość znajdowała się w Brazylii. Bigpanzi wykorzystuje takie metody, jak infekowanie urządzeń poprzez aktualizacje oprogramowania sprzętowego lub manipulowanie użytkownikami w celu nieświadomego instalowania zainfekowanych aplikacji.
Infekcje te stanowią źródło dochodów dla cyberprzestępców, którzy przekształcają zainfekowane urządzenia w węzły do różnych nielegalnych działań, w tym do nielegalnych platform strumieniowego przesyłania multimediów, sieci proxy ruchu, rojów typu Distributed Denial of Service (DDoS) i dostarczania treści Over-The-Top (OTT). .
Spis treści
Operacja botnetu Bigpanzi stwarza dodatkowe zagrożenia złośliwym oprogramowaniem
Operacja cyberprzestępcza prowadzona przez Bigpanzi wykorzystuje dwa niestandardowe narzędzia szkodliwego oprogramowania, znane jako „pandoraspear” i „pcdn”.
Pandoraspear działa jako trojan typu backdoor, przejmując kontrolę nad ustawieniami DNS, nawiązując komunikację z serwerem dowodzenia i kontroli (C2) i wykonując polecenia otrzymane z serwera C2. Szkodnik obsługuje szereg poleceń, umożliwiając mu manipulowanie ustawieniami DNS, inicjowanie ataków DDoS, samoaktualizację, tworzenie powłok wstecznych, zarządzanie komunikacją z C2 i wykonywanie dowolnych poleceń systemu operacyjnego. Aby uniknąć wykrycia, Pandoraspear wykorzystuje wyrafinowane techniki, takie jak zmodyfikowana powłoka UPX, dynamiczne łączenie, kompilacja OLLVM i mechanizmy zapobiegające debugowaniu.
Z drugiej strony Pcdn jest wykorzystywany do tworzenia sieci dystrybucji treści typu peer-to-peer (P2P) (CDN) na zainfekowanych urządzeniach i posiada możliwości DDoS w celu dalszego uzbrojenia tych urządzeń.
Botnet Bigpanzi ma globalny zasięg
W godzinach szczytu botnet Bigpanzi może pochwalić się 170 000 botów dziennie, a od sierpnia 2023 r. badacze zidentyfikowali ponad 1,3 miliona różnych adresów IP powiązanych z botnetem. Jednakże ze względu na sporadyczną aktywność zaatakowanych odbiorników telewizyjnych i ograniczenia widoczności analityków cyberbezpieczeństwa jest wysoce prawdopodobne, że rzeczywisty rozmiar botnetu przekracza te liczby. Wydaje się, że przez ostatnie osiem lat Bigpanzi działał w ukryciu, dyskretnie gromadząc bogactwo. W miarę rozwoju ich działalności nastąpił znaczny wzrost liczby próbek, nazw domen i adresów IP.
Badacze sugerują, że biorąc pod uwagę ogrom i złożoność sieci, ich odkrycia jedynie zarysowują powierzchnię tego, co naprawdę oznacza Bigpanzi. Jak dotąd eksperci ds. bezpieczeństwa informacji nie ujawnili żadnych szczegółów dotyczących przypisania działania botnetu. Jednak analiza zagrożenia pcdn zaprowadziła ich na podejrzany kanał YouTube, który prawdopodobnie znajduje się pod kontrolą konkretnej firmy.
Wektory infekcji wykorzystywane przez podmioty zagrażające stojące za Bigpanzi
Ta grupa cyberprzestępcza koncentruje się na platformach Android i eCos, wykorzystując trzy różne metody infekowania urządzeń użytkowników:
- Pirackie aplikacje filmowe i telewizyjne (Android) : Bigpanzi wykorzystuje pirackie aplikacje związane z filmami i programami telewizyjnymi na urządzeniach z Androidem. Użytkownicy nieświadomie pobierają i instalują te groźne aplikacje, zapewniając botnetowi punkt wejścia w celu naruszenia bezpieczeństwa urządzeń.
- Ogólne oprogramowanie sprzętowe OTA typu backdoor (Android) : Inna metoda polega na manipulowaniu aktualizacjami oprogramowania sprzętowego OTA na urządzeniach z Androidem. Cyberprzestępcy wprowadzają do tych aktualizacji backdoory, umożliwiające im wykorzystanie luk w zabezpieczeniach podczas procesu instalacji i uzyskanie nieautoryzowanego dostępu do urządzeń.
- Backdoorowane oprogramowanie sprzętowe „SmartUpTool” (eCos) : w przypadku urządzeń działających na platformie eCos firma Bigpanzi celuje w określone oprogramowanie sprzętowe o nazwie „SmartUpTool”. Cyberprzestępcy atakują to oprogramowanie, wprowadzając backdoory, umożliwiające im infiltrację i kontrolowanie urządzeń zasilanych przez eCos.
Stosując te trzy metody, Bigpanzi zapewnia różnorodny zakres wektorów ataków, wykorzystując niczego niepodejrzewających użytkowników, którzy korzystają z pirackich treści lub aktualizują swoje urządzenia za pomocą skompromitowanego oprogramowania sprzętowego.
