Популярнее, чем Google. Домен хакерского ботнета обогнал мирового гиганта в рейтингах Cloudflare

С осени прошлого года команда Black Lotus Labs из Lumen Technologies заблокировала более 550 управляющих серверов, связанных с ботнетами AISURU и Kimwolf. Эти вредоносные сети продолжают оставаться одними из крупнейших в своей категории, управляя заражёнными устройствами для проведения DDoS-атак и маршрутизации трафика через сервисы жилых прокси.

Особое внимание к Kimwolf привлекли специалисты из QiAnXin, подробно изучившие его архитектуру. По их данным, вредонос распространяется в основном через несертифицированные Android-приставки, превращая их в прокси-узлы с помощью внедряемого SDK под названием ByteConnect. Распространение ведётся как напрямую, так и через сомнительные приложения, установленные на устройствах по умолчанию. В результате заражения более 2 млн устройств с открытым ADB-интерфейсом становятся частью сети, используемой для обхода фильтрации трафика и дальнейшего заражения других устройств.

Позже стало известно, что создатели Kimwolf не только арендовали доступ к заражённым устройствам, но и пытались продавать прокси-трафик за фиксированную плату. В сентябре команда Black Lotus Labs зафиксировала активность, исходящую с канадских IP-адресов, подключающихся через SSH к управляющим серверам ботнета. Один из таких доменов успел подняться выше Google в списке самых популярных доменов Cloudflare в ноябре, прежде чем был удалён из рейтинга.

В октябре был обнаружен ещё один управляющий сервер, размещённый на IP-адресе хостинг-провайдера из Юты — Resi Rack LLC. Компания подаёт себя как поставщика игровых серверов, однако выяснилось, что её соучредители участвовали в продаже доступа к прокси через Discord-сервер под названием resi[.]to. Этот канал коммуникации впоследствии исчез, но именно через него велись активные продажи заражённых узлов.

Примерно в это же время Black Lotus Labs зафиксировала резкий скачок числа новых ботов в сети Kimwolf — их общее количество к середине октября достигло 800 тысяч. Почти все они были выставлены на продажу через один и тот же сервис жилых прокси. Расследование показало, что ботнет активно сканировал сервисы вроде PYPROXY на наличие уязвимостей и проникал в локальные сети, заражая устройства с включённым режимом ADB. Подобный подход позволял превращать их в очередные прокси-узлы и сдавать в аренду злоумышленникам, которые затем использовали доступ для дальнейшего распространения вредоносного ПО.

После блокировки одного из серверов ботнета в октябре, операторы перенесли управление на другой IP-адрес, также принадлежащий Resi Rack LLC. Вскоре последовал всплеск активности, связанной с передачей вредоносного ПО, что указывало на тесную связь между IP-адресами и инфраструктурой AISURU.

На фоне этих событий появилась информация о новой сети прокси, включающей более 800 взломанных маршрутизаторов на базе KeeneticOS. По данным отчёта, одинаковые конфигурации и SSH-отпечатки указывают на автоматизированный характер взлома — возможно, через украденные пароли или встроенные уязвимости в прошивке.

Заражённые маршрутизаторы использовались как прокси-узлы, помогая злоумышленникам маскировать вредоносную активность под обычный трафик домашних пользователей. Такие устройства, в отличие от дата-центров или коммерческих хостингов, не попадают в списки подозрительной активности и с трудом обнаруживаются стандартными средствами анализа трафика.