Popust za več licenc
Podjetje o grožnjah Botneti Kampanja botnetov Kimwolf

Kampanja botnetov Kimwolf

Do leta Mezo leta Botneti
Prevedi v:

Varnostni raziskovalci so odkrili ogromno botnet omrežje, osredotočeno na Android, znano kot Kimwolf, ki je z izkoriščanjem stanovanjskih proxy omrežij ogrozilo več kot dva milijona naprav. Zlonamerna programska oprema preoblikuje vsakodnevno potrošniško strojno opremo v globalno platformo za napade, tiho usmerja zlonamerni promet in omogoča obsežne porazdeljene operacije zavrnitve storitve (DDoS). Opazovanja kažejo približno 12 milijonov edinstvenih naslovov IP vsak teden, kar poudarja izjemen obseg te operacije.

Izvor, razvoj in povezave z AISURU

Kimwolf je bil prvič javno analiziran decembra 2025 , ko so preiskovalci odkrili močne tehnične in infrastrukturne povezave z drugim botnetom, imenovanim AISURU. Dokazi kažejo, da je Kimwolf aktiven vsaj od avgusta 2025 in predstavlja razvoj AISURU, ki temelji na Androidu. Raziskovalci vse bolj verjamejo, da je ta botnet poganjal več rekordnih DDoS kampanj, opaženih proti koncu lanskega leta.

Globalni okuženi odtis in ciljne naprave

Čeprav je Kimwolf prisoten po vsem svetu, so okužbe močno skoncentrirane v Vietnamu, Braziliji, Indiji in Savdski Arabiji. Pomemben del ogroženih sistemov predstavljajo neuradni pametni televizorji in sprejemniki Android, od katerih jih je veliko dobavljenih z nezaščitenimi privzetimi konfiguracijami.

Vsaj 67 % povezanih naprav izpostavi nepreverjeno storitev Android Debug Bridge (ADB), zaradi česar so dostopne za oddaljeni nadzor. Preiskovalci sumijo, da so mnogi od teh izdelkov prednaloženi s kompleti za razvoj programske opreme (SDK), povezanimi s proxyjem, preden dosežejo potrošnike, s čimer se ti dejansko vključijo v ekosisteme proxyjev, ki kasneje postanejo distribucijski kanali za zlonamerno programsko opremo.

Kako Kimwolf širi in ohranja nadzor

Kimwolfovi operaterji se za skeniranje interneta za naprave Android, ki izvajajo izpostavljene storitve ADB, zanašajo na velika stanovanjska posredniška omrežja. Ko je zlonamerna programska oprema identificirana, se na daljavo namesti, s čimer se naprava spremeni v prometni rele in napadalno vozlišče. Osnovni tovor odpre poslušalnik na vratih 40860 in vzpostavi odhodno komunikacijo z 85.234.91[.]247:1337, od koder prejema operativne ukaze.

Še decembra 2025 so okužbe izsledili do IP-naslovov proxy, najetih od kitajskega ponudnika IPIDEA, ki se oglašuje kot vodilna svetovna storitev IP proxy z več kot 6,1 milijona dnevno osveženih IP-naslovov in 69.000 novimi naslovi vsak dan. 27. decembra je IPIDEA uvedla varnostno posodobitev, ki blokira dostop do lokalnih omrežij in občutljivih vrat, potem ko so se pojavili dokazi, da so napadalci tunelirali prek programske opreme proxy, ki jo je namestilo naročnik, da bi dosegli notranje naprave.

Izpostavljenost, ki jo je ustvarila ta tehnika, so analitiki opisali kot brez primere, saj je milijone potrošniških sistemov postavila neposredno na pot avtomatiziranega izkoriščanja.

Monetizacija: posredniki, koristni tovori in plačani napadi

Kimwolfovi finančni motivi so bili že od samega začetka jasni. Operaterji so agresivno komercializirali svojo infrastrukturo in prek več kanalov spreminjali ogrožene naprave v sredstva, ki ustvarjajo dobiček:

  • Prodaja stanovanjskega proxy dostopa, oglaševana za samo 0,20 USD na GB oziroma približno 1400 USD na mesec za neomejeno pasovno širino, je pritegnila zgodnje sprejetje več proxy storitev.
  • Uvedba sekundarnih SDK-jev za monetizacijo, predvsem Plainproxies Byteconnect SDK, ki usmerja plačljive naloge proxyja z ukaznega strežnika na okužene naprave prek 119 namenskih relejskih strežnikov.
  • Zloraba botneta za kibernetske kriminalne operacije, vključno z obsežnimi DDoS-aktivnostmi in opaženimi kampanjami za prikrivanje poverilnic proti storitvam IMAP in priljubljenim spletnim platformam.

Prisotnost predhodno okuženih TV-sprejemnikov in integracija komercialnih SDK-jev za souporabo pasovne širine močno kažeta na poglobitev sodelovanja med operaterji botnetov in segmenti posredniškega gospodarstva.

Obrambni ukrepi in zmanjševanje tveganja

Za ublažitev podobnih groženj je potrebno usklajeno ukrepanje tako ponudnikov storitev kot tudi končnih uporabnikov:

  • Proxy omrežja bi morala blokirati promet, namenjen naslovnim območjem RFC 1918, in tako preprečiti zunanjim strankam dostop do notranjih zasebnih omrežij, kjer se nahajajo potrošniške naprave.
  • Organizacije in posamezniki morajo onemogočiti ali omejiti neoverjen dostop do ADB v sistemih Android, zlasti v vgrajenih napravah in napravah tipa IoT, ki se pogosto dobavljajo z nezaščitenimi privzetimi nastavitvami.

Brez teh kontrol bodo stanovanjski proxy ekosistemi še naprej zagotavljali idealno kritje za obsežno uvajanje zlonamerne programske opreme in širjenje botnetov.

V trendu

Najbolj gledan

Nalaganje...