U novoj priči o sajber bezbednosti, istražujemo uticaj botneta Kimwolf, koji je uspeo da inficira više od dva miliona uređaja, posebno Android TV streaming box-ova koji nisu zvanično podržani. Ovaj članak se fokusira na digitalne tragove koje su ostavili hakeri, kao i na mrežne operatore i usluge koje su profitirale od širenja Kimwolf-a.
Prema izveštaju kineske bezbednosne kompanije XLab, Kimwolf prisiljava inficirane uređaje da učestvuju u napadima poznatim kao DDoS (Distributed Denial of Service) i da preusmeravaju zlonameran internet saobraćaj za usluge koje se nazivaju „rezidencijalni proxy“.
Softver koji pretvara uređaj u rezidencijalni proxy često se tiho pakuje sa mobilnim aplikacijama i igrama. Kimwolf je posebno ciljao softver koji je fabrički instaliran na više od hiljadu različitih modela nesankcionisanih Android TV uređaja. Ovaj saobraćaj brzo počinje da se koristi za prevare sa oglašavanjem, pokušaje preuzimanja naloga i masovno kopiranje sadržaja.
XLab je potvrdio da su isti sajber kriminalci koristili infrastrukturu za distribuciju i Aisuru, prethodnu verziju Kimwolf-a, koja je takođe koristila uređaje za DDoS napade i proxy usluge.
Ko su botmasters?
Osnovni internet adresa povezana sa Kimwolf-om je dodeljena firmi Resi Rack LLC iz Lehi, Utah. Ova kompanija se predstavlja kao „Premium Game Server Hosting Provider“. Njihova prisutnost na forumu za zaradu na internetu, BlackHatWorld, označava ih kao „Premium Residential Proxy Hosting Company“.
Osnivač Resi Rack-a, Cassidy Hales, izjavio je da su obavešteni o korišćenju njihovih servera za Kimwolf i da su odmah preduzeli mere kako bi se rešili problema. Ovaj incident je izazvao nezadovoljstvo u kompaniji, jer nije bila njihova namera da se povezuju sa ovakvim aktivnostima.
U međuvremenu, članovi Discord kanala resi[.]to su aktivno delili IP adrese koje su koristile Kimwolf. Ovaj kanal je imao manje od 150 članova, uključujući Halesa i njegovog partnera Linusa.
Maskify i Plainproxies
Izveštaji ukazuju na to da je Maskify, još jedan provajder proxy usluga, bio značajno uključen u prodaju proxy-a povezanih sa Kimwolf-om. Maskify oglašava usluge po ceni od 30 centi po gigabajtu prenetih podataka, što je znatno niže od konkurencije.
Dok su se neki od glavnih aktera, poput ByteConnect i Plainproxies, suočili sa kritikama zbog povezanosti sa zlonamernim aktivnostima, njihovi vlasnici nisu odgovarali na zahteve za komentar.
Zaključak
S obzirom na sve veći broj Android TV uređaja bez adekvatne zaštite, korisnici treba da budu oprezni. Ako imate uređaj koji je potencijalno inficiran, preporučuje se da ga uklonite iz svoje mreže. U Srbiji, slični incidenti su retki, ali je važno da budemo svesni mogućih pretnji i usvojimo mere zaštite.
