Ваш телевизор занят делом: пока вы спите, он отправляет миллиарды хакерских команд
NewsMakerКак ботнет Kimwolf заразил уже почти 2 миллиона Android-устройств по всему миру.
Ботнет Kimwolf оказался в центре внимания после того, как специалисты QiAnXin XLab сообщили о заражении более 1,8 миллиона устройств на базе Android . В армию заражённых входят телевизоры, ТВ-приставки и планшеты, через которые теперь распространяются атаки на удалённые ресурсы. Масштаб активности оказался столь велик, что за три дня ботнет выдал 1,7 миллиарда команд для проведения DDoS-атак. В этот же период одно из доменных имён, используемых для управления, заняло первое место в списке наиболее популярных у Cloudflare, обогнав даже Google.
Наибольшее число заражений зафиксировано в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди пострадавших моделей значатся SuperBOX, P200, X96Q, SmartTV, MX10 и другие. Основная цель атаки — устройства, подключённые к домашним сетям. Пока не установлено, каким именно образом происходит заражение, но известно, что ботнет использует функции прокси-перенаправления, обратного доступа к системе и удалённого управления файлами. Это позволяет не только запускать атаки, но и зарабатывать на трафике, используя взломанные устройства как часть анонимной прокси-сети .
Впервые о Kimwolf стало известно в конце октября, когда специалисты получили одну из версий вредоносного кода от проверенного партнёра. С тех пор были обнаружены ещё восемь образцов. В декабре команда зафиксировала по меньшей мере три успешные попытки отключения серверов управления ботнетом, после чего злоумышленники перешли к использованию Ethereum Name Service для укрепления своей инфраструктуры. Это позволило зашифровать IP-адреса серверов и использовать смарт-контракты для их скрытого получения. Защищённая связь обеспечивается через DNS-over-TLS и другие методы шифрования.
Анализ показал, что более 96% всех команд, получаемых заражёнными устройствами, связаны с предоставлением прокси-услуг, а не с прямыми DDoS-атаками . Тем не менее, ботнет поддерживает 13 различных способов проведения атак по протоколам UDP, TCP и ICMP, а в качестве целей указываются ресурсы, расположенные в США, Китае, Франции, Германии и Канаде.
Ботнет Kimwolf оказался в центре внимания после того, как специалисты QiAnXin XLab сообщили о заражении более 1,8 миллиона устройств на базе Android . В армию заражённых входят телевизоры, ТВ-приставки и планшеты, через которые теперь распространяются атаки на удалённые ресурсы. Масштаб активности оказался столь велик, что за три дня ботнет выдал 1,7 миллиарда команд для проведения DDoS-атак. В этот же период одно из доменных имён, используемых для управления, заняло первое место в списке наиболее популярных у Cloudflare, обогнав даже Google.
Наибольшее число заражений зафиксировано в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах. Среди пострадавших моделей значатся SuperBOX, P200, X96Q, SmartTV, MX10 и другие. Основная цель атаки — устройства, подключённые к домашним сетям. Пока не установлено, каким именно образом происходит заражение, но известно, что ботнет использует функции прокси-перенаправления, обратного доступа к системе и удалённого управления файлами. Это позволяет не только запускать атаки, но и зарабатывать на трафике, используя взломанные устройства как часть анонимной прокси-сети .
Впервые о Kimwolf стало известно в конце октября, когда специалисты получили одну из версий вредоносного кода от проверенного партнёра. С тех пор были обнаружены ещё восемь образцов. В декабре команда зафиксировала по меньшей мере три успешные попытки отключения серверов управления ботнетом, после чего злоумышленники перешли к использованию Ethereum Name Service для укрепления своей инфраструктуры. Это позволило зашифровать IP-адреса серверов и использовать смарт-контракты для их скрытого получения. Защищённая связь обеспечивается через DNS-over-TLS и другие методы шифрования.
Анализ показал, что более 96% всех команд, получаемых заражёнными устройствами, связаны с предоставлением прокси-услуг, а не с прямыми DDoS-атаками . Тем не менее, ботнет поддерживает 13 различных способов проведения атак по протоколам UDP, TCP и ICMP, а в качестве целей указываются ресурсы, расположенные в США, Китае, Франции, Германии и Канаде.