Ponieważ nieuregulowane, tanie urządzenia IoT stają się coraz powszechniejsze w gospodarstwach domowych na całym świecie, ważne jest zrozumienie potencjalnych zagrożeń, jakie one stwarzają. Sprawa BadBox jest na tyle poważna, że FBI wydało ostrzeżenie. A czym właściwie jest? Mówiąc w skrócie – to wyrafinowana sieć zainfekowanych urządzeń IoT, która jest wykorzystywana przez cyberprzestępców do infiltracji sieci domowych na masową skalę.
BadBox 2.0 jeszcze groźniejszy od poprzednika
Pierwszy raz BadBox ujawniono w 2023 roku – wówczas badacze ds. bezpieczeństwa odkryli, że niektóre urządzenia oparte na systemie Android (głównie niedrogie gadżety, zwłaszcza nieposiadające certyfikatu Google Play Protect) były sprzedawane ze złośliwym oprogramowaniem osadzonym bezpośrednio w firmware. Urządzenia te, często produkowane w Chinach i sprzedawane na całym świecie, obejmowały dekodery strumieniowe, projektory cyfrowe, a nawet systemy informacyjno-rozrywkowe w pojazdach.
Dzięki skoordynowanym działaniom firm zajmujących się cyberbezpieczeństwem, firm technologicznych i międzynarodowych organów ścigania (w tym wspólnej operacji niemieckich władz i Google), rozprzestrzenianie się BadBox zatrzymano. Ale zagrożenie szybko się dostosowało. Botnet ewoluował, aby ominąć wiele środków zaradczych wdrożonych przeciwko niemu, sygnalizując niebezpieczną nową fazę cyberprzestępczości skoncentrowanej na IoT.
BadBox 2.0, najnowsza wersja botnetu, okazała się jeszcze bardziej podstępna niż jej poprzedniczka. Podczas gdy oryginalna wersja głównie infekowała urządzenia już na etapie produkcji, BadBox 2.0 może dostać się do sprzętu zarówno w fabryce, jak i po dotarciu do konsumentów. Urządzenia mogą być dostarczane z zainstalowanymi backdoorami w firmware lub zostać zainfekowane podczas początkowej konfiguracji – ale tylko wtedy, gdy użytkownicy pobiorą aplikacje z nieoficjalnych sklepów.
Czytaj też: Microsoft zwiększy cyberbezpieczeństwo Polski. Czy to zagrywka wizerunkowa?
Analitycy ds. bezpieczeństwa zidentyfikowali co najmniej cztery powiązane ze sobą grupy stojące za botnetem: SalesTracker, MoYu, Lemon i LongTV. Każda z nich specjalizuje się w innej fazie operacji – od dystrybucji złośliwego oprogramowania po monetyzację skradzionych danych. Gdy urządzenie zostanie opanowane, staje się częścią rozległej sieci botnet. Cyberprzestępcy wykorzystują te zainfekowane punkty końcowe jako proxy, co pozwala im kierować nielegalną aktywność przez sieci domowe i ukrywać ich prawdziwe pochodzenie.
Oprócz ułatwiania oszustw reklamowych i ataków DDoS, botnet umożliwia wypełnianie poświadczeń w celu przejęcia kont online, przechwytuje jednorazowe hasła w celu oszustw finansowych i wdraża złośliwy kod do dalszej rozbudowy sieci. Zdolność złośliwego oprogramowania do wykonywania dowolnych poleceń daje atakującym elastyczność w ponownym wykorzystywaniu zainfekowanych urządzeń do praktycznie dowolnego celu cyberprzestępczego.
Wykrycie infekcji BadBox 2.0 jest trudne dla większości konsumentów. Złośliwe oprogramowanie zazwyczaj działa w ukryciu, z niewielką liczbą widocznych objawów. Subtelne oznaki mogą obejmować pojawienie się nieznanych sklepów z aplikacjami, niewyjaśnione przegrzewanie się urządzenia lub nagłe zmiany ustawień sieciowych. FBI ostrzega, że urządzenia reklamujące bezpłatny dostęp do treści premium lub sprzedawane jako “odblokowane” stanowią szczególnie wysokie ryzyko.
Jeśli istnieje podejrzenie, że urządzenie jest zainfekowane, użytkownicy powinni natychmiast odłączyć je od Internetu, sprawdzić wszystkie podłączone urządzenia pod kątem nieautoryzowanych aplikacji lub działań oraz rozważyć wykonanie całkowitego resetu lub wymianę sprzętu.
Aby zminimalizować ryzyko, eksperci zalecają:
- zakup urządzeń certyfikowanych przez Google Play Protect;
- unikanie sprzętów nieposiadających certyfikatu;
- aktualizowanie oprogramowania sprzętowego i aplikacji;
- monitorowanie ruchu w sieci domowej pod kątem anomalii;
- sprawdzanie biuletynów bezpieczeństwa pod kątem list naruszonych modeli i znanych wskaźników naruszeń.