Ваш телевизор занят делом: пока вы спите, он отправляет миллиарды хакерских команд

leer en español

Kimwolf Android QiAnXin XLab AISURU DDoS ТВ-приставки ботнет
Ваш телевизор занят делом: пока вы спите, он отправляет миллиарды хакерских команд
Kimwolf Android QiAnXin XLab AISURU DDoS ТВ-приставки ботнет

Как ботнет Kimwolf заразил уже почти 2 миллиона Android-устройств по всему миру.

image

Ботнет Kimwolf оказался в центре внимания после того, как специалисты QiAnXin XLab сообщили о заражении более 1,8 миллиона устройств на базе Android. В армию заражённых входят телевизоры, ТВ-приставки и планшеты, через которые теперь распространяются атаки на удалённые ресурсы. Масштаб активности оказался столь велик, что за три дня ботнет выдал 1,7 миллиарда команд для проведения DDoS-атак. В этот же период одно из доменных имён, используемых для управления, заняло первое место в списке наиболее популярных у Cloudflare, обогнав даже Google.

Наибольшее число заражений зафиксировано в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди пострадавших моделей значатся SuperBOX, P200, X96Q, SmartTV, MX10 и другие. Основная цель атаки — устройства, подключённые к домашним сетям. Пока не установлено, каким именно образом происходит заражение, но известно, что ботнет использует функции прокси-перенаправления, обратного доступа к системе и удалённого управления файлами. Это позволяет не только запускать атаки, но и зарабатывать на трафике, используя взломанные устройства как часть анонимной прокси-сети.

Впервые о Kimwolf стало известно в конце октября, когда специалисты получили одну из версий вредоносного кода от проверенного партнёра. С тех пор были обнаружены ещё восемь образцов. В декабре команда зафиксировала по меньшей мере три успешные попытки отключения серверов управления ботнетом, после чего злоумышленники перешли к использованию Ethereum Name Service для укрепления своей инфраструктуры. Это позволило зашифровать IP-адреса серверов и использовать смарт-контракты для их скрытого получения. Защищённая связь обеспечивается через DNS-over-TLS и другие методы шифрования.

Анализ показал, что более 96% всех команд, получаемых заражёнными устройствами, связаны с предоставлением прокси-услуг, а не с прямыми DDoS-атаками. Тем не менее, ботнет поддерживает 13 различных способов проведения атак по протоколам UDP, TCP и ICMP, а в качестве целей указываются ресурсы, расположенные в США, Китае, Франции, Германии и Канаде.

Дополнительный интерес вызывает связь Kimwolf с другим ботнетом — AISURU. По данным специалистов, в начальной фазе обе вредоносные программы распространялись одними и теми же скриптами и даже использовали общий сертификат подписи. В декабре на одном из серверов обновлений был обнаружен скрипт, содержащий ссылки как на Kimwolf, так и на AISURU, что подтверждает принадлежность обеих сетей к одной преступной группе.

Механизм работы вредоноса остаётся относительно простым: после запуска он следит за тем, чтобы не запускались дубликаты, расшифровывает адрес сервера управления, подключается к нему и ждёт дальнейших инструкций. Последние версии добавляют возможность получения IP через данные из смарт-контрактов Ethereum, что делает ботнет менее уязвимым к попыткам его остановить.

Таким образом, сегодняшние киберугрозы всё чаще исходят не от заражённых маршрутизаторов или IP-камер, как это было в эпоху Mirai, а от телевизоров и приставок. Kimwolf — лишь один из представителей этого нового поколения ботнетов, способных использовать миллионы устройств в обход классических мер защиты.