Bigpanzi Botnet
Prej neidentificirana kibernetska kriminalna organizacija, imenovana 'Bigpanzi', ustvarja znatne dobičke z ogrožanjem televizijskih sprejemnikov Android TV in eCos po vsem svetu vsaj od leta 2015. Po mnenju raziskovalcev ta skupina groženj upravlja obsežen botnet, ki obsega približno 170.000 dnevno aktivnih botov. Predvsem od avgusta so raziskovalci identificirali 1,3 milijona edinstvenih naslovov IP, povezanih z botnetom, pri čemer se večina nahaja v Braziliji. Bigpanzi uporablja metode, kot je okužba naprav s posodobitvami vdelane programske opreme ali manipuliranje z uporabniki, da nevede namestijo ogrožene aplikacije.
Te okužbe služijo kot vir dohodka za kibernetske kriminalce, ki ogrožene naprave spremenijo v vozlišča za različne nedovoljene dejavnosti, vključno z nezakonitimi platformami za pretakanje medijev, omrežji za posredovanje prometa, roji Distributed Denial of Service (DDoS) in zagotavljanjem vsebine Over-The-Top (OTT). .
Kazalo
Operacija Bigpanzi Botnet uvaja dodatne grožnje zlonamerne programske opreme
Operacija kibernetskega kriminala, ki jo izvaja Bigpanzi, uporablja dve prilagojeni orodji zlonamerne programske opreme, znani kot "pandoraspear" in "pcdn."
Pandoraspear deluje kot zakulisni trojanec, prevzema nadzor nad nastavitvami DNS, vzpostavlja komunikacijo s strežnikom za ukaze in nadzor (C2) in izvaja ukaze, prejete s strežnika C2. Zlonamerna programska oprema podpira vrsto ukazov, kar ji omogoča manipuliranje z nastavitvami DNS, sprožanje napadov DDoS, samoposodabljanje, ustvarjanje povratnih lupin, upravljanje komunikacije s C2 in izvajanje poljubnih ukazov OS. Da bi se izognil odkrivanju, Pandoraspear uporablja sofisticirane tehnike, kot so spremenjena lupina UPX, dinamično povezovanje, prevajanje OLLVM in mehanizmi za odpravljanje napak.
Po drugi strani pa se Pcdn uporablja za izgradnjo omrežja za distribucijo vsebin (CDN) Peer-to-Peer (P2P) na okuženih napravah in ima zmožnosti DDoS za nadaljnje oboroževanje teh naprav.
Bigpanzi Botnet ima globalni doseg
V času največje obremenitve se botnet Bigpanzi ponaša s 170.000 dnevnimi boti, od avgusta 2023 pa so raziskovalci identificirali več kot 1,3 milijona različnih IP-jev, povezanih z botnetom. Vendar pa je zaradi občasne dejavnosti ogroženih televizijskih sprejemnikov in omejitev vidnosti analitikov kibernetske varnosti zelo verjetno, da dejanska velikost botneta presega te številke. Zdi se, da je v zadnjih osmih letih Bigpanzi deloval prikrito in diskretno kopičil bogastvo. Ko so njihove operacije napredovale, je prišlo do opaznega širjenja vzorcev, imen domen in naslovov IP.
Raziskovalci menijo, da glede na ogromnost in zapletenost omrežja njihove ugotovitve le opraskajo površino tega, kar Bigpanzi resnično pomeni. Doslej strokovnjaki za informacijsko varnost niso razkrili nobenih podrobnosti glede pripisovanja delovanja botneta. Vendar jih je analiza grožnje pcdn pripeljala do sumljivega YouTubovega kanala, ki naj bi bil pod nadzorom določenega podjetja.
Vektorji okužbe, ki jih izkoriščajo akterji groženj za Bigpanzi
Skupina kibernetskih kriminalcev se osredotoča na platformi Android in eCos, pri čemer uporablja tri različne metode za okužbo uporabniških naprav:
- Piratske aplikacije za filme in TV (Android) : Bigpanzi uporablja piratske aplikacije, povezane s filmi in TV-oddajami v napravah Android. Uporabniki nevede prenesejo in namestijo te nevarne aplikacije, ki zagotavljajo vstopno točko za botnet, da ogrozi naprave.
- Zakulisna generična vdelana programska oprema OTA (Android) : Druga metoda vključuje manipuliranje s posodobitvami vdelane programske opreme po zraku (OTA) v napravah Android. Kibernetski kriminalci v te posodobitve uvedejo stranska vrata, ki jim omogočajo izkoriščanje ranljivosti med postopkom namestitve in pridobitev nepooblaščenega dostopa do naprav.
- Zakulisna vdelana programska oprema »SmartUpTool« (eCos) : Za naprave, ki delujejo na platformi eCos, Bigpanzi cilja na določeno vdelano programsko opremo z imenom »SmartUpTool«. Kibernetski kriminalci ogrozijo to vdelano programsko opremo z uvedbo stranskih vrat, ki jim omogočajo infiltracijo in nadzor naprav, ki jih poganja eCos.
Z uporabo teh treh metod Bigpanzi zagotavlja raznolik nabor vektorjev napadov, pri čemer izkorišča nič hudega sluteče uporabnike, ki se ukvarjajo s piratsko vsebino ali posodabljajo svoje naprave prek ogrožene vdelane programske opreme.
