Ботнет Bigpanzi

Раніше неідентифікована організація кіберзлочинців під назвою «Bigpanzi» отримує значні прибутки, скомпрометувавши телевізійні приставки Android TV і eCos у всьому світі принаймні з 2015 року. За словами дослідників, ця група загроз керує розгалуженою бот-мережею, яка включає близько 170 000 щоденних активних ботів. Примітно, що з серпня дослідники ідентифікували 1,3 мільйона унікальних IP-адрес, пов’язаних із ботнетом, більшість із яких розташовано в Бразилії. Bigpanzi використовує такі методи, як зараження пристроїв через оновлення прошивки або маніпулювання користувачами, щоб вони несвідомо встановлювали скомпрометовані програми.

Ці зараження служать джерелом доходу для кіберзлочинців, які перетворюють скомпрометовані пристрої на вузли для різноманітних незаконних дій, включаючи незаконні платформи потокового передавання медіа, мережі проксі-сервера трафіку, зграї розподіленої відмови в обслуговуванні (DDoS) і надання контенту через поверхню (OTT). .

Операція ботнету Bigpanzi розгортає додаткові загрози зловмисного програмного забезпечення

Операція з боротьби з кіберзлочинністю, яку проводить Bigpanzi, використовує два спеціальні інструменти зловмисного програмного забезпечення, відомі як «pandoraspear» і «pcdn».

Pandoraspear функціонує як бекдор-троян, захоплюючи контроль над налаштуваннями DNS, встановлюючи зв’язок із сервером командування та керування (C2) і виконуючи команди, отримані від сервера C2. Зловмисне програмне забезпечення підтримує низку команд, що дозволяє маніпулювати налаштуваннями DNS, ініціювати DDoS-атаки, самооновлюватися, створювати зворотні оболонки, керувати зв’язком із C2 і виконувати довільні команди ОС. Щоб уникнути виявлення, Pandoraspear використовує складні методи, такі як модифікована оболонка UPX, динамічне зв’язування, компіляція OLLVM і механізми захисту від помилок.

Pcdn, з іншого боку, використовується для створення однорангової (P2P) мережі розподілу вмісту (CDN) на заражених пристроях і має можливості DDoS для подальшого використання цих пристроїв.

Ботнет Bigpanzi має глобальне охоплення

У часи пік ботнет Bigpanzi може похвалитися 170 000 ботів щодня, і з серпня 2023 року дослідники ідентифікували понад 1,3 мільйона окремих IP-адрес, пов’язаних із ботнетом. Однак через періодичну активність скомпрометованих телевізійних приставок і обмеження видимості аналітиків кібербезпеки дуже ймовірно, що реальний розмір ботнету перевищує ці цифри. Протягом останніх восьми років Bigpanzi, здається, діяв таємно, непомітно накопичуючи багатство. У міру розвитку їхніх операцій спостерігалося помітне поширення зразків, доменних імен та IP-адрес.

Дослідники припускають, що, враховуючи грандіозність і заплутаність мережі, їхні висновки лише дряпають поверхню того, що насправді передбачає Bigpanzi. Поки що експерти з інформаційної безпеки не розкривають жодних подробиць щодо приписування роботи ботнету. Однак аналіз загрози pcdn привів їх до підозрілого каналу YouTube, який, як вважають, контролює певна компанія.

Переносники інфекції, якими користуються загрозливі особи, що стоять за Bigpanzi

Група кіберзлочинців зосереджена на платформах Android і eCos, використовуючи три різні методи зараження пристроїв користувачів:

• Піратські програми для фільмів і ТБ (Android) : Bigpanzi використовує піратські програми, пов’язані з фільмами та телешоу на пристроях Android. Користувачі несвідомо завантажують і встановлюють ці загрозливі програми, забезпечуючи точку входу для ботнету для компрометації пристроїв.
• Бекдорне загальне мікропрограмне забезпечення OTA (Android) : інший метод передбачає маніпулювання оновленнями мікропрограми бездротового зв’язку (OTA) на пристроях Android. Кіберзлочинці вводять бекдори в ці оновлення, що дозволяє їм використовувати вразливості під час процесу встановлення та отримувати несанкціонований доступ до пристроїв.
• Backdoored мікропрограмне забезпечення «SmartUpTool» (eCos) : Для пристроїв, що працюють на платформі eCos, Bigpanzi націлено на конкретне мікропрограмне забезпечення під назвою «SmartUpTool». Кіберзлочинці компрометують це мікропрограмне забезпечення, впроваджуючи бекдори, що дозволяє їм проникати та контролювати пристрої, що працюють від eCos.

Застосовуючи ці три методи, Bigpanzi забезпечує різноманітний спектр векторів атак, використовуючи нічого не підозрюючих користувачів, які використовують піратський вміст або оновлюють свої пристрої через скомпрометоване мікропрограмне забезпечення.