Kiberbiztonsági kutatók egy új, rendkívül gyorsan terjedő botnetet azonosítottak, amely már közel kétmillió eszközt fertőzött meg világszerte. A Kimwolf névre keresztelt hálózat Android alapú TV-ket, set-top boxokat és táblagépeket céloz. A QiAnXin XLab elemzése szerint elsősorban Brazíliában, Indiában, az Egyesült Államokban, Argentínában, Dél-Afrikában és a Fülöp-szigeteken található lakossági hálózatokban terjedt el.
A fertőzés módszere egyelőre ismeretlen, de az érintett eszközök többsége olyan márkákhoz köthető, mint a SuperBOX, SmartTV, X96Q, MX10 vagy TV BOX. A botnet újjáéledési képessége különösen aggasztó. Decemberben legalább három alkalommal sikerült lekapcsolni a parancs- és vezérlőszervereit, mégis visszatért, még fejlettebb infrastruktúrával.
A Kimwolf az ENS-t, vagyis az Ethereum Name Service rendszert kezdi használni C2 kommunikációhoz, megnehezítve a lekapcsolást és növelve a rezilienciát. Ez a lépés jól mutatja, hogy a támadók alkalmazkodnak a blokkolási kísérletekhez és decentralizált technológiák felé mozdulnak.
A kutatók szerint a botnet nem csak DDoS támadásokra alkalmas. A forráskód és az infrastruktúra jelentős átfedést mutat az AISURU nevű botnettel, amely napjaink egyik legpusztítóbb szereplője. Mindkét botnet ugyanazt a fertőzési rendszert használta, és ugyanazokban az eszközökben volt jelen. Ez arra utal, hogy ugyanazon hacker csoport működteti őket, összehangolt stratégiával.
Az AISURU erejét jól mutatja a legutóbbi rekord: Cloudflare adatai szerint ez a botnet 29,7 Tbps csúcsterhelésű DDoS támadást indított, 14,1 milliárd csomag per másodperc mellett. Ilyen teljesítmény már kritikus infrastruktúrákat, nagyvállalati hálózatokat és szolgáltatókat is veszélyeztethet.
A Kimwolf terjedése és képességei alapján komoly fenyegetés lehet. A decentralizált DNS infrastruktúra használata és a több milliós fertőzött eszközállomány miatt a lekapcsolása egyre nehezebb feladat. A televíziók és set-top boxok sok esetben gyenge vagy elavult védelemmel rendelkeznek, így ideális célpontjai az ilyen botneteknek.
A vállalatok és szolgáltatók számára a helyzet egyértelmű üzenetet hordoz: az IoT és Android eszközök már nem csupán mellékszereplők a kibertámadásokban. A Kimwolf és AISURU példája azt mutatja, hogy akár lakossági eszközök tömege is képes világszintű DDoS rohamok alapját adni.
