.
Atualizada Pesquisadores de segurança atribuíram uma botnet DDoS que infectou potencialmente milhões de smart TVs e decodificadores a um sindicato do crime cibernético de oito anos chamado Bigpanzi.
Pelo menos 170 mil bots rodavam diariamente no auge da campanha, depois de infectar TVs com Android e outros hardwares de streaming por meio de aplicativos piratas e atualizações de firmware.
Um cenário de infecção comum seria ver um usuário visitar um site de streaming duvidoso enquanto navega em seu smartphone, apenas para então ser forçado a baixar o aplicativo malicioso associado em sua smart TV com Android.
Um usuário teria então seu dispositivo backdoor e seus recursos disponibilizados para uso em vários crimes cibernéticos, incluindo ataques DDoS e sequestro de outros fluxos, substituindo o conteúdo de outros canais pelo de um invasor.
Tal caso aconteceu nos Emirados Árabes Unidos em Dezembro de 2023, por exemplo, onde as transmissões regulares foram sequestradas com imagens de dentro do conflito entre Israel e a Palestina.
“O potencial das TVs e STBs controladas por Bigpanzi para transmitir conteúdo violento, terrorista ou pornográfico, ou para empregar vídeos cada vez mais convincentes gerados por IA para propaganda política, representa uma ameaça significativa à ordem e estabilidade social”, disseram pesquisadores do setor de segurança chinês. Qianxin.
Os pesquisadores não detalharam o histórico da atividade DDoS do botnet nem o culparam por quaisquer ataques de alto perfil, mas para ter uma ideia do que ele é capaz, seus comandos DDoS são herdados do infame Mirai.
A investigação de Qianxin revelou que o malware, chamado pandoraspear, adicionou 11 vetores diferentes de ataque DDoS relacionados ao Mirai à sua lista de comandos depois que as primeiras versões tinham ferramentas comparativamente mais fracas nesta área.
Como todos sabemos, Mirai foi responsável por alguns dos ataques DDoS mais notórios do passado, incluindo aqueles no Dyn, GitHub, Reddit e Airbnb – todos ocorridos naquele dia de outubro de 2016 que quebrou a internet (não no viral). tipo de sensação). É também um malware que continua surgindo e está em desenvolvimento ativo até hoje.
Ao tentar rastrear a identidade dos responsáveis pela pandoraspear, os investigadores de Qianxin acabaram por restringir a sua pesquisa a uma única empresa, mas não a divulgaram no seu relatório.
Bigpanzi e o malware pandoraspear estão ativos pelo menos desde 2015.
O trabalho para localizar Bigpanzi ainda está em andamento e o “objetivo final” dos pesquisadores é desferir “um ataque decisivo contra eles”.
Os esforços de Bigpanzi concentraram-se no Brasil, principalmente em São Paulo, a cidade onde muitos dos 170.000 bots foram identificados no auge da campanha.
A escala da botnet só foi percebida quando dois dos nove domínios usados para a infraestrutura de comando e controle (C2) da botnet expiraram, permitindo que os pesquisadores registrassem esses domínios por conta própria e vissem como ele estava sendo executado.
Os criminosos não aceitaram muito bem os pesquisadores que sequestraram seus domínios e responderam forçando-os a ficar offline.
“Ao perceber que havíamos protegido seus domínios, o grupo reagiu agressivamente”, escreveram os pesquisadores. “Eles bombardearam nossos domínios com ataques DDoS para forçá-los a ficar offline e manipularam os arquivos hosts dos dispositivos infectados.
“Essa estratégia redireciona certos nomes de domínio para endereços IP específicos, ignorando o processo normal de resolução de DNS usado para encontrar os endereços IP de domínios de comando e controle.
“Não nos envolvemos muito nesse confronto, deixamos de resolver voluntariamente e, consequentemente, perdemos essa perspectiva”.
Acredita-se que o grupo tenha recentemente transferido suas operações DDoS para uma botnet separada que eles controlam, usando-a para crimes cibernéticos mais lucrativos, como executá-la como uma rede de distribuição de conteúdo.
“Esta mudança estratégica sublinha a adaptabilidade e a natureza evolutiva dos sindicatos do crime cibernético como o Bigpanzi”, acrescentaram os investigadores.
Acredita-se que a botnet seja maior do que o tamanho de seis dígitos registrado em seu pico em agosto. Os pesquisadores disseram que os dispositivos infectados, por serem de natureza de consumo, provavelmente não serão ligados a cada segundo de cada dia, levando a descuidos.
Eles também conseguiram sequestrar apenas dois dos nove domínios C2 e de download de malware, o que significa que sua visibilidade na operação é limitada.
“Diante de uma rede tão grande e complexa, as nossas descobertas representam apenas a ponta do iceberg em termos do que Bigpanzi abrange”, disseram os investigadores. “Há uma grande quantidade de trabalho de rastreamento e investigação ainda a ser realizado.
“A análise apresentada neste artigo é apenas uma luz fraca na escuridão, iluminando uma pequena parte da existência sombria de Bigpanzi. Agradecemos os insights da comunidade de segurança cibernética e convidamos a colaboração daqueles com motivação e capacidade para gerenciar tais ameaças. Juntos , há uma oportunidade de combater o grupo Bigpanzi e contribuir para manter a segurança cibernética.” ®
Atualização às 10h20 UTC de 19 de janeiro de 2024, para adicionar:
Em um comunicado, o Google disse:
“Esses dispositivos infectados parecem ser dispositivos Android Open Source Project (AOSP), o que significa que qualquer pessoa pode baixar e modificar o código. Android TV é o sistema operacional do Google para smart TVs e dispositivos de streaming. É proprietário, o que significa que apenas o Google e seus parceiros licenciados podem modificar o código.
“Se um dispositivo não for certificado pelo Play Protect, o Google não terá um registro dos resultados dos testes de segurança e compatibilidade. Os dispositivos Android certificados pelo Play Protect passam por testes extensivos para garantir a qualidade e a segurança do usuário.”
.
