Botnet Bigpanzi
Une organisation cybercriminelle jusqu'alors non identifiée, surnommée « Bigpanzi », génère des profits substantiels en compromettant les décodeurs Android TV et eCos à l'échelle mondiale depuis au moins 2015. Selon les chercheurs, ce groupe de menaces gère un vaste botnet comprenant environ 170 000 robots actifs quotidiennement. Notamment, depuis août, les chercheurs ont identifié 1,3 million d’adresses IP uniques liées au botnet, dont une majorité située au Brésil. Bigpanzi utilise des méthodes telles que l'infection des appareils via des mises à jour du micrologiciel ou la manipulation des utilisateurs pour qu'ils installent des applications compromises sans le savoir.
Ces infections servent de source de revenus aux cybercriminels qui transforment les appareils compromis en nœuds pour diverses activités illicites, notamment les plateformes de streaming multimédia illégales, les réseaux proxy de trafic, les essaims de déni de service distribué (DDoS) et la fourniture de contenu Over-The-Top (OTT). .
Table des matières
L’opération Bigpanzi Botnet déploie des menaces de logiciels malveillants supplémentaires
L'opération de cybercriminalité menée par Bigpanzi utilise deux outils malveillants personnalisés appelés « pandoraspear » et « pcdn ».
Pandoraspear fonctionne comme un cheval de Troie de porte dérobée, prenant le contrôle des paramètres DNS, établissant la communication avec un serveur de commande et de contrôle (C2) et exécutant les commandes reçues du serveur C2. Le malware prend en charge une gamme de commandes, lui permettant de manipuler les paramètres DNS, de lancer des attaques DDoS, de se mettre à jour automatiquement, de créer des shells inversés, de gérer la communication avec le C2 et d'exécuter des commandes arbitraires du système d'exploitation. Pour échapper à la détection, Pandoraspear utilise des techniques sophistiquées, telles qu'un shell UPX modifié, des liaisons dynamiques, une compilation OLLVM et des mécanismes anti-débogage.
Pcdn, quant à lui, est utilisé pour construire un réseau de distribution de contenu (CDN) peer-to-peer (P2P) sur les appareils infectés et possède des capacités DDoS pour militariser davantage ces appareils.
Le botnet Bigpanzi a une portée mondiale
Aux heures de pointe, le botnet Bigpanzi compte 170 000 robots quotidiens et depuis août 2023, les chercheurs ont identifié plus de 1,3 million d’adresses IP distinctes associées au botnet. Cependant, en raison de l'activité intermittente des boîtiers TV compromis et des limites de visibilité des analystes en cybersécurité, il est fort probable que la taille réelle du botnet dépasse ces chiffres. Au cours des huit dernières années, Bigpanzi semble avoir opéré en secret, accumulant discrètement des richesses. À mesure que leurs opérations progressaient, on a assisté à une prolifération notable d’échantillons, de noms de domaine et d’adresses IP.
Les chercheurs suggèrent qu’étant donné l’énormité et la complexité du réseau, leurs découvertes ne font qu’effleurer la surface de ce qu’implique réellement Bigpanzi. Jusqu’à présent, les experts en sécurité de l’information n’ont divulgué aucun détail concernant l’attribution de l’opération du botnet. Cependant, une analyse de la menace PCDN les a conduits vers une chaîne YouTube suspecte qui serait sous le contrôle d'une entreprise particulière.
Vecteurs d’infection exploités par les acteurs de la menace derrière Bigpanzi
Le groupe cybercriminel se concentre sur les plateformes Android et eCos, en utilisant trois méthodes distinctes pour infecter les appareils des utilisateurs :
- Applications de films et de séries télévisées piratées (Android) : Bigpanzi exploite des applications piratées liées aux films et aux émissions de télévision sur les appareils Android. Les utilisateurs téléchargent et installent sans le savoir ces applications menaçantes, fournissant ainsi un point d'entrée au botnet pour compromettre les appareils.
- Micrologiciel OTA générique à porte dérobée (Android) : une autre méthode consiste à manipuler les mises à jour du micrologiciel OTA (over-the-air) sur les appareils Android. Les cybercriminels introduisent des portes dérobées dans ces mises à jour, leur permettant d'exploiter les vulnérabilités pendant le processus d'installation et d'obtenir un accès non autorisé aux appareils.
- Firmware 'SmartUpTool' (eCos) à porte dérobée : Pour les appareils fonctionnant sur la plateforme eCos, Bigpanzi cible un firmware spécifique nommé 'SmartUpTool'. Les cybercriminels compromettent ce firmware en introduisant des portes dérobées, leur permettant d'infiltrer et de contrôler les appareils alimentés par eCos.
En employant ces trois méthodes, Bigpanzi garantit une gamme diversifiée de vecteurs d'attaque, exploitant les utilisateurs sans méfiance qui interagissent avec du contenu piraté ou mettent à jour leurs appareils via un micrologiciel compromis.
