Šiomis dienomis, norint sukurti tikrai pavojingą botnetą, nebereikia milžiniškų serverių ar sudėtingų saugumo spragų išnaudojimo. Pakanka paprastos svetainės, pigaus „Android TV“ priedėlio ir išradingo gamintojo.
„Kimwolf“ – nauja jau gerai žinomos kenkėjiškos programos „Aisuru“ versija – išaugo iki beveik dviejų milijonų užkrėstų įrenginių. Dauguma jų savininkų net nenutuokia, kad jų namų technika dalyvauja vienose didžiausių pasaulyje kibernetinių atakų.
„Kimwolf“ yra „Aisuru“ kenkėjiškos programos variantas, kuris jau kurį laiką neduoda ramybės saugumo tyrėjams. Tačiau šį kartą stebina ne pati technologija, o mastas. Analitikų teigimu, gruodžio pradžioje užkrėstų įrenginių skaičius viršijo 1,8 mln., o dabar artėja prie 2 mln.
Svarbiausia – nusikaltėliai neveikia vieni. Kai kurie įrenginių gamintojai jiems netiesiogiai padeda.
Pigi namų technika – pagrindinis taikinys
„Kimwolf“ pirmiausia taikosi į nebrangius, dažnai be aiškaus prekės ženklo „Android“ įrenginius – nuo televizorių priedėlių iki pigių projektorių, parduodamų tokiose platformose kaip „Temu“.
Pagrindinė problema – atvira „Android Debug Bridge“ (ADB) sąsaja. Tai kūrėjams skirta priemonė, kuri šiuo atveju tampa atvirais vartais į įrenginio sistemą.
Kūrėjų įrankis, tapęs užpuoliko ginklu
ADB leidžia diegti programas, vykdyti komandas ir perkelti failus „Android“ sistemoje. Problema prasideda tada, kai ši sąsaja tampa pasiekiama tinkle be jokios vartotojo autentifikacijos.
„Kimwolf“ aktyviai skenuoja tinklus, ieškodama atvirų prievadų, tokių kaip 5555, 5858, 12108 ir 3222. Aptikusi pažeidžiamą įrenginį, ji per „netcat“ arba „telnet“ įkelia kenkėjišką kodą, išsaugodama scenarijus kataloge /data/local/tmp.
Tai suteikia visišką įrenginio kontrolę. Iš vartotojo pusės viskas atrodo normalu – televizorius veikia, priedėlis rodo vaizdą. Tačiau realybėje įrenginys gali būti naudojamas DDoS atakoms ar kitai nusikalstamai veiklai, dažnai naktimis, kai niekas to nepastebi.
Gyvenamųjų namų tarpiniai serveriai – nusikaltėlių rojus
Svarbus „Kimwolf“ sėkmės veiksnys – gyvenamųjų namų tarpinio serverio tinklai. Tyrėjai nustatė, kad kai kurie tarpinio serverio paslaugų teikėjai leidžia pasiekti vietinius IP adresus ir visus vidinio tinklo prievadus.
Tai prilygsta situacijai, kai nepažįstamąjį įsileidžiate į savo namus ir parodote, kur laikote raktus. Vieno tyrimo metu net 67 % „Android“ įrenginių buvo visiškai neapsaugoti.
Dar blogiau – kai kurie įrenginiai klientams buvo pristatyti su jau įdiegtu tarpinio serverio SDK. Vos prijungus tokį televizoriaus priedėlį prie interneto, jis automatiškai tapdavo kažkieno kito infrastruktūros dalimi.
Tai ypač būdinga nelegaliai platinamiems „Android TV“ priedėliams su neoficialiomis transliacijos paslaugomis, leidžiančiomis apeiti geografinius ribojimus ar piratauti turinį.
29,7 terabito per sekundę – tylos rekordas
„Aisuru“ botnetas, o kartu ir „Kimwolf“, yra atsakingas už didžiausią viešai atskleistą DDoS ataką istorijoje – jos galia siekė net 29,7 terabito per sekundę. Dar prieš kelerius metus tokie skaičiai būtų atrodę neįmanomi.
Ši galia naudojama paslaugų paralyžiui, turto prievartavimui ir nusikalstamos infrastruktūros monetizavimui – parduodant tarpinius serverius arba diegiant papildomas programas per išorinius SDK. Paprastas namų įrenginys tampa pasaulinės kibernetinių nusikaltimų ekonomikos dalimi, o vartotojas dažniausiai net nepastebi jokių požymių.
Ką gali padaryti vartotojas?
Tyrėjai sukūrė internetinę priemonę, leidžiančią patikrinti, ar jūsų tinkle esantys įrenginiai nėra „Kimwolf“ botneto dalis. Jei nustatoma infekcija, rekomendacija labai aiški – visiškai atsisakyti įrenginio.
Daugeliu atvejų kenkėjiška programa išlieka net ir po standartinio gamyklinių nustatymų atkūrimo.
Ekspertai pataria:
- vengti pigių, neaiškios kilmės „Android TV“ priedėlių;
- rinktis įrenginius su „Google Play Protect“ sertifikatu;
- pirkti tik iš patikimų gamintojų.
Tai nėra absoliuti saugumo garantija, tačiau ženkliai sumažina riziką. Daiktų internetas daugelį metų vystėsi taip greitai, kad saugumas liko antrame plane. Rinka dažnai renkasi mažą kainą, o ne apsaugą.
Du milijonai užkrėstų įrenginių – geriausias to įrodymas. Infekcijos fiksuojamos visame pasaulyje, įskaitant ir Europos šalis.
Šaltinis: https://antyweb.pl/kimwolf-aisuru-botnet-android
