Новости рынка ТВ-приставок (STB)

[yorick]

Новый ботнет захватил более 30 тысяч телеприставок на Android TV

Команда Nokia Deepfield обнаружила новую масштабную кампанию по заражению бюджетных телевизионных приставок Android TV. По данным исследователей, ботнет Katana – усовершенствованный вариант вредоносного программного обеспечения семейства Mirai – контролирует не менее 30 тысяч устройств и способен генерировать DDoS-трафик мощностью до 150 Гбит/с.

Главная цель злоумышленников – недорогие безымянные TV-боксы на Android TV, работающие на базе Android Open Source Project (AOSP). Речь идет не об устройствах, сертифицированных компанией Google, а о бюджетных боксах без официальной сертификации и Google Play Protect — это делает их удобной мишенью. Операторы ботнета арендуют доступ к домашним сетям через резидентные прокси-сервисы, отыскивают приставки с открытым интерфейсом Android Debug Bridge (ADB) и захватывают устройства без сложного эксплойта. Через незащищенный ADB на устройство попадает APK-файл или исполняемый ELF-бинарник, после чего бот блокирует порт 5555, изменяет параметры удаленного доступа и лишает владельца контроля над приставкой.

С технической точки зрения Katana существенно отличается от типичных представителей семьи Mirai. Большинство IoT-ботнетов работает в пользовательском пространстве, а Katana компилирует собственный руткит непосредственно на зараженном устройстве. Для этого вредоносный APK содержит исходный код, компилятор TinyCC и загрузчики для разных аппаратных архитектур.

После запуска ботнет собирает модуль ядра под конкретную версию прошивки на том же хосте – такой подход устраняет потребность заранее готовить отдельные модули под десятки различных конфигураций. Собранный руткит скрывает процессы и файлы, защищает бота от удаления и делает невозможным завершение процесса через системный сигнал. Впрочем, эта защита срабатывает не всегда – ботнеты-конкуренты уже научились вытеснять Katana из части приставок. Встроенного сканера или механизма подбора паролей у Katana нет – распространение происходит исключительно через внешние ADB-скрипты.

Несмотря на техническое изящество, ботнет опирается на устаревшие сетевые подходы. В частности, Katana использует необработанные пакеты с IP_HDRINCL для замены исходного IP-адреса, однако все атакующие механизмы работают только по протоколу IPv4. В арсенале ботнета – 11 методов распределенных атак на отказ в обслуживании (DDoS), среди которых атаки на серверы FiveM, а также SSH-, MySQL-, SMTP-, IRC-, FTP-, LDAP-, TeamSpeak 3- и HTTP-сервисы.

Отдельного внимания заслуживает борьба между ботнетами за контроль над ограниченным парком уязвимых приставок. Katana действует особенно агрессивно – уничтожает чужих ботов и перекрывает конкурентам доступ к уже захваченным устройствам, изменяя настройки ADB-порта. Владельцы приставок фактически отстранены от этого противостояния: их устройства становятся полем сражения между несколькими группировками.

Жером Мейер из Nokia Deepfield отметил, что Katana – очередной пример новой экономики ботнетов для Android TV, где злоумышленники арендуют инфраструктуру вместо разработки собственных уязвимостей. Исследователи также обратили внимание на признаки участия искусственного интеллекта в разработке вредоносного кода – на это указывают неоправданно длинные списки блокированных утилит с элементами, бессмысленными для Android TV (в частности, emacs), а также шаблонные наборы сетевых команд. В то же время архитектура командного сервера (C2), механизм закрепления и компиляция модуля ядра свидетельствуют о том, что за Katana стоит и ручная доработка кода, а не только автоматическая генерация.

Источник:
mediasat
_________________
OLED Panasonic TX-65HZ980E; Pioneer LX-5090; Vu+ Duo 4K; AX HD61 4K; DM8000; поворотка Inverto Premium ZXC 120cm, Strong SRT-DM2100 (90*E-30*W), many different cards&CAM's (incl. PRO) for Pay TV

Желаю, чтобы у Вас сбылось то, чего Вы желаете другим!