Botnet Bigpanzi infekuje setki tysięcy urządzeń z Androidem
Eksperci ds. bezpieczeństwa przypisali botnet typu Distributed Denial of Service (DDoS), który może mieć wpływ na miliony inteligentnych telewizorów i dekoderów, działającej od ośmiu lat grupie cyberprzestępczej znanej jako Bigpanzi.
W szczytowym okresie kampanii codziennie działało co najmniej 170 000 botów, infekując telewizory z systemem Android i urządzenia do przesyłania strumieniowego za pośrednictwem pirackich aplikacji i aktualizacji oprogramowania sprzętowego. Typowy scenariusz infekcji polegał na tym, że użytkownicy odwiedzali na swoich smartfonach podejrzane witryny do przesyłania strumieniowego i nieumyślnie pobierali złośliwe aplikacje na telewizory Smart TV z systemem Android.
Po zainfekowaniu urządzenia były wykorzystywane do różnych cyberprzestępstw, w tym do ataków DDoS i przejmowania innych strumieni, podczas których osoba atakująca podmieniała treści na różnych kanałach. W wyniku incydentu, który miał miejsce w grudniu 2023 r. w Zjednoczonych Emiratach Arabskich, regularnie przejmowano programy telewizyjne w celu wyświetlania obrazów z konfliktu między Izraelem a Palestyną.
Chińska firma ochroniarska ostrzegła, że telewizory i dekodery kontrolowane przez Bigpanzi mogą emitować treści zawierające przemoc, terroryzm lub wulgarne treści lub wykorzystywać wyrafinowane filmy wideo generowane przez sztuczną inteligencję do celów propagandy politycznej, co stanowi poważne zagrożenie dla porządku i stabilności społecznej.
Bigpanzi bierze stronę z książki Mirai
Nie podając szczegółowo historii DDoS botnetu ani nie przypisując go głośnym atakom, badacze zauważyli, że jego polecenia DDoS zostały odziedziczone od niesławnego Mirai. Dochodzenie badaczy ujawniło szkodliwe oprogramowanie pandoraspear powiązane z Bigpanzi, zawierające w późniejszych wersjach 11 wektorów ataków DDoS związanych z Mirai.
Bigpanzi wraz ze złośliwym oprogramowaniem pandoraspear jest aktywny co najmniej od 2015 r. Trwają wysiłki mające na celu wyśledzenie i zwalczanie Bigpanzi, skupiając się na zakłócaniu ich działalności. Celem grupy było przede wszystkim Brazylia, zwłaszcza Sao Paulo, gdzie w szczytowym okresie kampanii zidentyfikowano znaczną liczbę botów.
Prawdziwa skala botnetu stała się widoczna, gdy badacze przejęli kontrolę nad dwiema wygasłymi domenami używanymi w infrastrukturze dowodzenia i kontroli botnetu. W odpowiedzi cyberprzestępcy w odwecie wymusili na domenach tryb offline.
Podejrzewa się, że grupa przeniosła swoje operacje DDoS do innego kontrolowanego botnetu, wykorzystując go do bardziej lukratywnych cyberprzestępstw, takich jak funkcjonowanie jako sieć dostarczania treści. Uważa się, że obecny rozmiar botnetu przekracza sześciocyfrową liczbę odnotowaną w szczytowym okresie w sierpniu, ponieważ urządzenia klasy konsumenckiej mogą nie być stale włączane.