Bigpanzi Botnet

O organizație criminală cibernetică neidentificată anterior, numită „Bigpanzi”, a generat profituri substanțiale prin compromiterea decodificatoarelor Android TV și eCos la nivel global din cel puțin 2015. Potrivit cercetătorilor, acest grup de amenințări gestionează o rețea botnet extinsă care cuprinde aproximativ 170.000 de roboți activi zilnic. În special, din august, cercetătorii au identificat 1,3 milioane de adrese IP unice legate de rețeaua botnet, majoritatea fiind localizată în Brazilia. Bigpanzi folosește metode precum infectarea dispozitivelor prin actualizări de firmware sau manipularea utilizatorilor pentru a instala aplicații compromise fără să știe.

Aceste infecții servesc drept sursă de venituri pentru infractorii cibernetici care transformă dispozitivele compromise în noduri pentru diferite activități ilicite, inclusiv platforme ilegale de streaming media, rețele de proxy de trafic, roiuri de refuzare distribuită a serviciului (DDoS) și furnizare de conținut Over-The-Top (OTT). .

Operațiunea Bigpanzi Botnet implementează amenințări malware suplimentare

Operațiunea de criminalitate cibernetică condusă de Bigpanzi folosește două instrumente malware personalizate cunoscute sub numele de „pandoraspear” și „pcdn”.

Pandoraspear funcționează ca un troian backdoor, preia controlul setărilor DNS, stabilește comunicarea cu un server de comandă și control (C2) și execută comenzile primite de la serverul C2. Malware-ul acceptă o serie de comenzi, permițându-i să manipuleze setările DNS, să inițieze atacuri DDoS, să se autoactualizeze, să creeze shell-uri inverse, să gestioneze comunicarea cu C2 și să execute comenzi arbitrare ale sistemului de operare. Pentru a evita detectarea, Pandoraspear folosește tehnici sofisticate, cum ar fi un shell UPX modificat, legături dinamice, compilare OLLVM și mecanisme anti-depanare.

Pcdn, pe de altă parte, este utilizat pentru a construi o rețea de distribuție de conținut (CDN) peer-to-peer (P2P) pe dispozitive infectate și posedă capabilități DDoS pentru a arma aceste dispozitive în continuare.

Botnetul Bigpanzi are acoperire globală

În perioadele de vârf, rețeaua botnet Bigpanzi se mândrește cu 170.000 de boți zilnici, iar din august 2023, cercetătorii au identificat peste 1,3 milioane de IP-uri distincte asociate rețelei bot. Cu toate acestea, din cauza activității intermitente a boxelor TV compromise și a limitărilor în vizibilitatea analiștilor de securitate cibernetică, este foarte probabil ca dimensiunea reală a rețelei bot să depășească aceste cifre. În ultimii opt ani, Bigpanzi pare să fi funcționat pe ascuns, acumulând averea discret. Pe măsură ce operațiunile lor au avansat, a existat o proliferare notabilă de mostre, nume de domenii și adrese IP.

Cercetătorii sugerează că, având în vedere enormitatea și complexitatea rețelei, descoperirile lor nu fac decât să zgârie suprafața a ceea ce implică cu adevărat Bigpanzi. Până acum, experții în securitatea informațiilor nu au dezvăluit niciun detaliu cu privire la atribuirea operațiunii botnet. Cu toate acestea, o analiză a amenințării pcdn i-a condus către un canal YouTube suspect despre care se crede că se află sub controlul unei anumite companii.

Vectori de infecție exploatați de actorii din spatele Bigpanzi

Grupul de criminali cibernetici se concentrează pe platformele Android și eCos, utilizând trei metode distincte pentru a infecta dispozitivele utilizatorilor:

• Filme și aplicații TV piratate (Android) : Bigpanzi folosește aplicațiile piratate legate de filme și emisiuni TV pe dispozitivele Android. Utilizatorii descarcă și instalează fără să știe aceste aplicații amenințătoare, oferind un punct de intrare pentru botnet pentru a compromite dispozitivele.
• Firmware OTA generic cu ușă în spate (Android) : o altă metodă implică manipularea actualizărilor de firmware over-the-air (OTA) pe dispozitivele Android. Infractorii cibernetici introduc backdoors în aceste actualizări, permițându-le să exploateze vulnerabilități în timpul procesului de instalare și să obțină acces neautorizat la dispozitive.
• Firmware-ul „SmartUpTool” cu ușă în spate (eCos) : pentru dispozitivele care funcționează pe platforma eCos, Bigpanzi vizează un firmware specific numit „SmartUpTool”. Infractorii cibernetici compromit acest firmware prin introducerea ușilor din spate, permițându-le să se infiltreze și să controleze dispozitivele alimentate de eCos.

Utilizând aceste trei metode, Bigpanzi asigură o gamă diversă de vectori de atac, exploatând utilizatorii nebănuiți care se angajează cu conținut piratat sau își actualizează dispozitivele prin firmware compromis.