Ботнет Kimwolf
Експерти з кібербезпеки виявили масштабну розподілену ботнет-мережу типу «відмова в обслуговуванні» (DDoS), відому як Kimwolf, яка вже інфікувала понад 1,8 мільйона пристроїв. Серед них телевізори на базі Android, телеприставки та планшети. Попередні розслідування вказують на потенційний зв'язок із сумнозвісною ботнет-мережею AISURU. Це відкриття підкреслює зростаючу складність шкідливого програмного забезпечення, орієнтованого на Інтернет речей, та критичну необхідність пильності у захисті підключених пристроїв.
Зміст
Анатомія Кімвульфа
Kimwolf створено з використанням Native Development Kit (NDK) та поєднує в собі безліч можливостей, що виходять за рамки традиційних DDoS-атак. Основні характеристики включають:
- Переадресація проксі-сервера
- Зворотний доступ до оболонки
- Функції керування файлами
Шкідливе програмне забезпечення ботнету розроблене для запуску одного процесу на кожному пристрої, розшифрування вбудованих доменів командування та управління (C2), визначення IP-адреси C2 за допомогою DNS-over-TLS та виконання команд, отриманих від його операторів.
Рекордні масштаби та активність
За повідомленнями, лише за три дні, з 19 по 22 листопада 2025 року, Kimwolf видав 1,7 мільярда команд DDoS-атаки. Один з його доменів C2, 14emeliaterracewestroxburyma02132[.]su, навіть ненадовго з'явився серед 100 найкращих доменів Cloudflare, тимчасово випередивши Google.
Основними цілями зараження є побутові телевізійні приставки, такі як:
- ТВ-приставка, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Географічно інфекції зосереджені в Бразилії, Індії, США, Аргентині, Південній Африці та Філіппінах, хоча точний метод поширення залишається неясним.
Еволюція та стійкість
Kimwolf демонструє високу адаптивність. Його домени C2 були видалені щонайменше тричі у грудні 2025 року, що спонукало операторів перейти на домени Ethereum Name Service (ENS) для зміцнення інфраструктури. Останні версії шкідливого програмного забезпечення включають EtherHiding, техніку, яка отримує фактичну IP-адресу C2 за допомогою смарт-контрактів та перетворює її за допомогою операцій XOR, що значно ускладнює видалення.
Підключення до AISURU та спільної інфраструктури
Докази пов'язують Kimwolf з ботнетом AISURU, відомим рекордними DDoS-атаками:
- Обидва ботнети співіснували на одних і тих самих заражених пристроях у період з вересня по листопад 2025 року.
- Подібності в пакетах APK та сертифікатах підпису коду («Джон Дінглберт Дінгленат VIII ВанСак Сміт») вказують на спільне походження розробки.
- Сервер завантажувача (93.95.112[.]59) підтвердив наявність скриптів, що посилаються на APK-файли Kimwolf та AISURU.
Цей зв'язок натякає на те, що одна хакерська група потенційно керує обома ботнетами, щоб максимізувати охоплення та уникнути виявлення.
Можливості атаки та монетизація
Kimwolf підтримує 13 різних методів DDoS-атак через UDP, TCP та ICMP, спрямованих на такі країни, як США, Китай, Франція, Німеччина та Канада. Цікаво, що понад 96% виданих команд спрямовані на використання заражених вузлів як проксі-сервісів, що свідчить про сильне комерційне мотивування.
Додаткові компоненти, що розгортаються на скомпрометованих пристроях, включають:
- Командний клієнт на базі Rust – створює проксі-мережу
- ByteConnect SDK – монетизує трафік Інтернету речей для розробників та власників пристроїв
- Шифрування TLS захищає всі комунікації, а конфіденційні дані про сервери C2 та DNS-резолвери також шифруються, що підвищує операційну прихованість.
Ширший контекст гігантських ботнетів
З моменту появи Mirai у 2016 році гігантські ботнети Інтернету речей значно еволюціонували. Ранні версії в основному були спрямовані на широкосмугові маршрутизатори та камери, але сучасні ботнети, такі як Badbox, Bigpanzi, Vo1d та Kimwolf, все частіше зосереджуються на смарт-телевізорах та телеприставках, що відображає зміну інтересів зловмисників до споживчих пристроїв з високою пропускною здатністю.
