Ένα νέο, τεράστιας κλίμακας botnet έχει κάνει την εμφάνισή του στο τοπίο της κυβερνοασφάλειας, προκαλώντας ανησυχία στους ειδικούς και αναδεικνύοντας για άλλη μια φορά την ευπάθεια των «έξυπνων» οικιακών συσκευών. Με την ονομασία Kimwolf, το κακόβουλο αυτό δίκτυο έχει ήδη καταφέρει να θέσει υπό τον έλεγχό του περίπου 1,8 εκατομμύρια συσκευές παγκοσμίως, δημιουργώντας έναν ψηφιακό στρατό ικανό να εξαπολύσει καταστροφικές επιθέσεις.
Η ανακάλυψη έγινε από την ερευνητική ομάδα QiAnXin XLab, η οποία δημοσίευσε πρόσφατα μια λεπτομερή έκθεση για τη δράση του Kimwolf. Σύμφωνα με τα ευρήματα, το botnet στοχεύει κυρίως συσκευές που τρέχουν λογισμικό Android, με ιδιαίτερη προτίμηση σε TV boxes, αποκωδικοποιητές (set-top boxes) και tablets. Το ανησυχητικό στοιχείο δεν είναι μόνο ο αριθμός των μολυσμένων συσκευών, αλλά η ικανότητα του λογισμικού να επιβιώνει και να εξελίσσεται παρά τις προσπάθειες εξουδετέρωσής του.
Ποιους στοχεύει και πού βρίσκεται
Η γεωγραφική κατανομή των θυμάτων του Kimwolf είναι ευρεία, με τη μεγαλύτερη συγκέντρωση να εντοπίζεται στη Βραζιλία, την Ινδία, τις Ηνωμένες Πολιτείες, την Αργεντινή, τη Νότια Αφρική και τις Φιλιππίνες. Οι ερευνητές διαπίστωσαν ότι η πλειονότητα των μολυσμένων μηχανημάτων βρίσκεται σε οικιακά δίκτυα, γεγονός που καθιστά τον εντοπισμό και τον καθαρισμό τους ιδιαίτερα δύσκολο για τον μέσο χρήστη.
Οι συσκευές που έχουν πέσει θύματα του Kimwolf ανήκουν σε μάρκες και ονομασίες που συχνά συναντώνται στην αγορά των προσιτών Android TV boxes. Μεταξύ αυτών αναφέρονται τα brands: TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, SmartTV και MX10. Ενδιαφέρον παρουσιάζει και η αναφορά της ονομασίας «XBOX» στη λίστα των στόχων, η οποία, στο πλαίσιο των φθηνών Android συσκευών που αναλύονται, πιθανότατα παραπέμπει σε κλώνους ή media boxes που χρησιμοποιούν καταχρηστικά το όνομα της γνωστής κονσόλας, παρά στο αυθεντικό hardware της Microsoft.
Ανθεκτικότητα μέσω blockchain
Αυτό που ξεχωρίζει το Kimwolf από άλλα botnets είναι η τεχνική του αρτιότητα και η ικανότητά του να παραμένει ενεργό. Οι ερευνητές παρατήρησαν ότι, παρά το γεγονός ότι οι servers εντολών και ελέγχου (C2 servers) του botnet δέχθηκαν επιθέσεις και τέθηκαν εκτός λειτουργίας τουλάχιστον τρεις φορές μέσα στον Δεκέμβριο, το δίκτυο επανήλθε δριμύτερο.
Για να επιτύχουν αυτή την ανθεκτικότητα, οι δημιουργοί του Kimwolf στράφηκαν στο Ethereum Name Service (ENS). Χρησιμοποιώντας την τεχνολογία blockchain για την υποδομή τους, καθιστούν εξαιρετικά δύσκολη την οριστική κατάργηση των servers τους, αποδεικνύοντας μια «ισχυρή εξελικτική ικανότητα», όπως χαρακτηριστικά αναφέρει η έκθεση της XLab.
Η σύνδεση με το «τέρας» AISURU
Ίσως το πιο τρομακτικό στοιχείο της υπόθεσης είναι η σύνδεση του Kimwolf με ένα άλλο διαβόητο botnet, το AISURU. Η ανάλυση του κώδικα και της υποδομής έδειξε σημαντικές επικαλύψεις μεταξύ των δύο. Και τα δύο δίκτυα χρησιμοποίησαν τα ίδια σενάρια μόλυνσης (infection scripts) μεταξύ Σεπτεμβρίου και Νοεμβρίου, συνυπάρχοντας συχνά στις ίδιες παρτίδες συσκευών.
Το συμπέρασμα των ειδικών είναι το εξής: Το Kimwolf και το AISURU ανήκουν στην ίδια ομάδα χάκερ. Για να γίνει αντιληπτό το μέγεθος της απειλής, αρκεί να αναφερθεί ότι το AISURU έχει χαρακτηριστεί ως η «κορυφή των botnets» από την Cloudflare. Πρόσφατα, το AISURU κατέρριψε κάθε ρεκόρ, εξαπολύοντας μια επίθεση DDoS που έφτασε τα 29.7 terabits ανά δευτερόλεπτο (Tbps) και τα 14.1 δισεκατομμύρια πακέτα ανά δευτερόλεπτο (Bpps). Η Cloudflare περιέγραψε την επίθεση αυτή ως «βομβαρδισμό» UDP πακέτων σε χιλιάδες θύρες ταυτόχρονα.
Το γεγονός ότι το Kimwolf μοιράζεται το ίδιο DNA με ένα τόσο καταστροφικό ψηφιακό όπλο σημαίνει ότι δεν πρόκειται απλώς για άλλο ένα κακόβουλο λογισμικό που προβάλλει διαφημίσεις ή υποκλέπτει δεδομένα, αλλά για ένα εργαλείο που μπορεί να χρησιμοποιηθεί για να «γονατίσει» κρίσιμες υποδομές του διαδικτύου.
Η αχίλλειος πτέρνα των Android boxes
Η υπόθεση του Kimwolf φέρνει ξανά στο προσκήνιο το ζήτημα της ασφάλειας των φθηνών συσκευών IoT και των Android media players. Πολλές από αυτές τις συσκευές κυκλοφορούν στην αγορά με παρωχημένες εκδόσεις λειτουργικού συστήματος, χωρίς πρόβλεψη για ενημερώσεις ασφαλείας και συχνά με ανοιχτές θύρες που τις καθιστούν εύκολη λεία για τους επιτιθέμενους.
Ενώ ο τρόπος αρχικής μόλυνσης παραμένει αδιευκρίνιστος, η επικράτηση του Kimwolf σε οικιακά δίκτυα υποδηλώνει ότι οι χρήστες συχνά αγνοούν τον κίνδυνο που ελλοχεύει στο σαλόνι τους. Μια μολυσμένη συσκευή TV box μπορεί να μην δείχνει προφανή σημάδια δυσλειτουργίας στον ιδιοκτήτη της, αλλά στο παρασκήνιο να συμμετέχει σε μαζικές κυβερνοεπιθέσεις εναντίον τραπεζών, κυβερνητικών ιστοσελίδων ή μεγάλων εταιρειών τεχνολογίας.
Καθώς οι ομάδες κυβερνοεγκλήματος γίνονται πιο εφευρετικές, χρησιμοποιώντας τεχνολογίες όπως το blockchain για να θωρακίσουν τις υποδομές τους, η ανάγκη για προσοχή κατά την αγορά και χρήση συνδεδεμένων συσκευών γίνεται επιτακτική. Η επιλογή επώνυμων συσκευών που λαμβάνουν τακτικά updates και η αποφυγή αμφιλεγόμενων προϊόντων αγνώστου προελεύσεως αποτελούν την πρώτη γραμμή άμυνας σε έναν ψηφιακό κόσμο που γίνεται όλο και πιο εχθρικός.
