Узнать правду
Image

Наука безумнее, чем фантастика

Мы нашли ответы на вопросы, о которых вы даже не задумывались. Факты, которые заставят ваш мозг работать на 101%.

Купили ТВ-приставку подешевле? Поздравляем, теперь она участвует в глобальных кибервойнах

leer en español

Katana Mirai Nokia Deepfield Жером Мейер Android TV ADB DDoS тв-бокс
Купили ТВ-приставку подешевле? Поздравляем, теперь она участвует в глобальных кибервойнах
Katana Mirai Nokia Deepfield Жером Мейер Android TV ADB DDoS тв-бокс

Любимые сериалы тормозят не из-за слабого железа, а из-за «новых жильцов» в системе.

image

Ботнет Katana захватил не меньше 30 тысяч ТВ-приставок на Android и превратил дешёвые устройства в площадку для DDoS-атак. Команда Nokia Deepfield ERT описала новую волну заражений, где злоумышленникам не понадобились ни уязвимости, ни сложные инструменты — хватило подписки на резидентные прокси и доступа к ADB без аутентификации.

Речь идёт не о сертифицированных устройствах Google TV, а о бюджетных приставках на базе Android Open Source Project без Google Play Protect. По данным авторов отчёта, оператор Katana распространяет вредоносное ПО через открытый ADB и устанавливает на устройство APK-файл либо исполняемый ELF-бинарник. После запуска бот блокирует порт 5555, меняет настройки удалённого доступа и мешает владельцу вернуть контроль над приставкой.

Главная особенность Katana — редкая для семейства Mirai схема с компиляцией руткита прямо на заражённом устройстве. Вредоносный APK приносит исходный код, компилятор TinyCC и загрузчики для разных архитектур, а затем пытается собрать модуль ядра на месте. Такой модуль скрывает процессы и файлы, защищает бот от удаления и не позволяет завершить процесс по системному сигналу. Впрочем, защита срабатывает не всегда: конкурирующие ботнеты уже научились выбивать Katana с части приставок.

Сама сеть, по оценке Nokia Deepfield, уже способна проводить атаки мощностью до 150 Гбит/с. В арсенале Katana — 11 методов DDoS, включая атаки на серверы FiveM, а также SSH-, MySQL-, SMTP-, IRC-, FTP-, LDAP-, TeamSpeak 3- и HTTP-сервисы. При этом внутри образца нет встроенного сканера или подбора паролей — распространение целиком осуществляется через внешние ADB-скрипты.

Жером Мейер из Nokia Deepfield сообщил, что Katana стала ещё одним примером новой экономики ботнетов для Android TV. Операторы арендуют доступ к домашним сетям через резидентные прокси-сервисы, находят приставки с открытым ADB и массово захватывают устройства без написания отдельного эксплойта. Дополнительный признак зрелости кампании — борьба между самими группами, которые удаляют чужие боты и перехватывают уже заражённые приставки.

Авторы отчёта также заметили следы возможной помощи со стороны ИИ. На такую версию указывают чрезмерно разросшиеся списки блокируемых утилит, нелепые для Android TV элементы вроде emacs и наборы шаблонных сетевых команд. При этом C2-архитектура, механизм закрепления и компиляция модуля ядра говорят о том, что за Katana стоит не только генерация кода, но и ручная доработка.