„Bigpanzi Botnet“ užkrečia šimtus tūkstančių „Android“ įrenginių

Saugumo ekspertai priskyrė paskirstytą paslaugų atsisakymo (DDoS) botnetą, galintį paveikti milijonus išmaniųjų televizorių ir priedų, nusistovėjusiai kibernetinių nusikaltimų grupei, žinomai kaip Bigpanzi, veikiančiai aštuonerius metus.

Kampanijos piko metu kasdien veikė mažiausiai 170 000 robotų, užkrėsdami „Android“ pagrįstus televizorius ir srautinio perdavimo įrenginius piratinėmis programėlėmis ir programinės įrangos atnaujinimais. Įprastas užsikrėtimo scenarijus apimdavo naudotojus, kurie savo išmaniaisiais telefonais lankosi abejotinos srautinio perdavimo svetainėse ir netyčia atsisiunčia kenkėjiškų programų į savo „Android“ išmaniuosius televizorius.

Užkrėsti įrenginiai buvo naudojami įvairiems elektroniniams nusikaltimams, įskaitant DDoS atakas ir kitų srautų perėmimą, kai užpuolikas pakeitė turinį skirtinguose kanaluose. 2023 m. gruodžio mėn. per incidentą Jungtiniuose Arabų Emyratuose buvo užgrobtos reguliarios transliacijos, kuriose buvo rodomi Izraelio ir Palestinos konflikto vaizdai.

Kinijos saugos įmonė perspėjo, kad „Bigpanzi“ valdomų televizorių ir priedėlių galimybė transliuoti smurtinį, teroristinį ar atvirą turinį arba naudoti sudėtingus dirbtinio intelekto sukurtus vaizdo įrašus politinei propagandai kelia didelę grėsmę socialinei tvarkai ir stabilumui.

Bigpanzi paima puslapį iš Mirai knygos

Nors nedetalizavo botneto DDoS istorijos ir nepriskirdama jos didelio atgarsio atakoms, tyrėjai pažymėjo, kad jo DDoS komandos buvo paveldėtos iš liūdnai pagarsėjusio Mirai. Tyrėjų tyrimas atskleidė pandoraspear kenkėjišką programą, susijusią su Bigpanzi, apimančią 11 su Mirai susijusių DDoS atakų vektorių vėlesnėse versijose.

Bigpanzi kartu su kenkėjiška programine įranga pandoraspear veikė mažiausiai nuo 2015 m. Pastangos atsekti ir kovoti su Bigpanzi nuolat, daugiausia dėmesio skiriant jų veiklos sutrikdymui. Grupė pirmiausia taikėsi į Braziliją, ypač San Paulą, kur kampanijos piko metu buvo aptikta daug robotų.

Tikrasis botneto mastas tapo akivaizdus, kai mokslininkai perėmė dviejų nebegaliojančių domenų, naudojamų botneto valdymo ir valdymo infrastruktūrai, valdymą. Atsakydami į tai, kibernetiniai nusikaltėliai atkeršijo domenus išjungdami.

Įtariama, kad grupuotė savo DDoS operacijas perkėlė į kitą savo valdomą botnetą, naudodama jį pelningesniems elektroniniams nusikaltimams, pavyzdžiui, veikdama kaip turinio pristatymo tinklas. Manoma, kad dabartinis botneto dydis viršija šešių skaitmenų skaičių, užfiksuotą didžiausiu rugpjūčio mėn., nes vartotojams skirti įrenginiai gali būti nuolat įjungti.