A kiberbiztonsági szakértők egy új botnet terjedésére hívták fel a figyelmet, ami BadBox 2.0 név alatt fut és elég sok veszélyt hordoz magában.

Az említett botnet többnyire az olcsó IoT eszközöket veszi célba, ezeket a legkülönfélébb illegális cselekményekre tudják felhasználni a belőlük szervezett botnet révén, az adott háztartás további internetes eszközeit is képesek megfertőzni az érintett terméken keresztül, plusz akár kényes adatokat is megszerezhetnek. A szóban forgó botnet a jelenlegi információk szerint 220-nál is több országban mutat jelenlétet kisebb-nagyobb mértékben, azaz eléggé nagy problémáról van szó. A fertőzött eszközök között különféle termékek találhatóak, kezdve az olcsó TV felokosító eszközöktől a tanúsítvánnyal nem rendelkező digitális képkereteken át egészen az olcsó projektorokig. A helyzet olyannyira veszélyes, hogy már az FBI is felhívta rá a figyelmet.

Maga a BadBox 2.0 nem előzmények nélkül érkezett, 2023-ban ugyanis már felfigyeltek a BadBox műveletre, ami akkoriban még főként az olcsó androidos eszközöket vette célba, amelyek nem rendelkeznek Google Play Protect tanúsítvánnyal, kedvező áruk miatt mégis vonzónak bizonyultak a költséghatékony termékeket kereső vásárlók számára. Ezeket az eszközöket gyakran a gyártás során fertőzték meg, vagyis már a gyári firmware tartalmazta a kártékony kódot. A főként Kínából származó olcsó eszközök, amelyek beágyazott kártékony kódokat tartalmaztak, elég sok országba eljutottak, de egy összehangolt művelet folyamán sikerült felszámolni a botnetet még 2024 folyamán. Ebben aktív szerepet vállaltak a különböző kiberbiztonsági cégek, a technológiai cégek, illetve a nemzetközi bűnüldöző szervek – a siker érdekében a német hatóság és a Google között is szoros együttműködés folyt.

Úgy tűnik, a botnet üzemeltetői gyorsan alkalmazkodtak az új helyzethez és olyan támadásformákat és kódokat fejlesztettek ki, amelyek az eddigi biztonsági óvintézkedések nagy részét képesek megkerülni. Ez igen komoly veszélyt jelent globális szinten és azt vetíti előre, hogy új fejezet indul az IoT központú kiberbűnözés terén. A BadBox 2.0 már sokkal kifinomultabb, mint első generációs társa, most már nemcsak a gyártás és a beszállítói lánc fertőzésével terjed, hanem képes azokat az eszközöket is megfertőzni, amelyek már a felhasználóknál vannak.  A fertőzés bekövetkezhet úgy, hogy a szoftver gyárilag nyitott hátsó kaput tartalmaz, amelyen keresztül bejuthatnak a kiberbűnözők, de akkor is sor kerülhet rá, ha a felhasználó óvatlanul letölt egy alkalmazás nem hivatalos forrásból, ami eleve fertőzött.

Az eddigi információk alapján a botnet mögött négy csoport bújik meg, amelyek tagjai szorosan együttműködnek egymással. A SalesTracker, a MoYu, a Lemon, illetve a LongTV csapatának tagjai között ügyesen és hatékonyan vannak elosztva a különböző feladatok: az egyes csoportok és tagok más és más feladatokért felelnek kezdve a malware terjesztésétől egészen a lopott adatok értékesítéséig bezárólag.

Ahogy sikerült a megcélzott eszközre bejutni, az rögtön a botnet részévé válik, szabad bejárásuk van rá a kiberbűnözőknek, és akár a helyi hálózat további eszközeit is meg tudják fertőzni rajta keresztül, ezzel kényes adatokhoz juttatva az üzemeltetőket: például online banki adatokhoz, különböző hozzáférési információkhoz, vagy egyéb olyan adatokhoz, amelyek nincsenek jó kezekben a bűnözőknél.

Maga a botnet extraként nemcsak az adatok megszerzésére használható, hanem különböző illegális tevékenységekhez is felhasználhatják a zombihálózatba csoportosított eszközöket, legyen szó szolgáltatásmegtagadáson alapuló túlterheléses támadásról (DDoS), a malware további terjesztéséről, vagy bármilyen egyéb kiberbűnözői célról.

A BadBox alapjai egyébként egy 2016-ban felfedezett androidos malware-ig nyúlnak vissza, ami nem más, mint a Triada. Ez egy trójai volt, ami eléggé mélyen beásta magát a rendszerbe annak érdekében, hogy ténykedésére ne lehessen rábukkanni, vagy legalábbis könnyedén ne. Ennek a trójainak a továbbfejlesztett változata, a BadBox idővel a beszállítói láncokat és a gyártás alatt lévő eszközöket is elkezdte támadni, majd nemrégiben eljutottunk a BadBox 2.0-ig, ami még nagyobb veszélyt jelent. Ez a malware csendesen, alig észrevehetően működik a háttérben, de azért vannak jelei a ténykedésének, például megjelenhetnek ismeretlen alkalmazás-áruházok az adott eszköz felhasználói kezelőfelületén, indokolatlanul melegedhet, vagy éppen hirtelen változások történhetnek a hálózati beállításaiban. Az FBI szerint azok az eszközök különösen veszélyesek, amelyek úgy kaphatóak kereskedelmi forgalomban, hogy prémium tartalomhoz való hozzáférést kínálnak vagy „függetlenként” hirdetik őket, jellemzően az egyes piactereken vagy kínai eladóknál.

Ha bebizonyosodik, hogy az adott eszköz fertőzött lehet, azonnal le kell választani az internetkapcsolatról és lehetőleg  a helyi hálózatról is, majd ellenőrizni kell a többi eszközt is, vannak-e rajtuk ismeretlen, engedély nélkül felkerült alkalmazások, vagy látunk-e bármi gyanúsat az aktivitásukban. Érdemes lehet egy teljes alaphelyzetbe állítást eszközölni, illetve érdemes lehet az adott eszköz lecserélésén is elgondolkodni, lehetőleg biztonságos forrásból vásárolva.

A szakemberek azt javasolják, olyan eszközöket vásároljanak a felhasználók, amelyek rendelkeznek Google Play Protect tanúsítvánnyal, és érdemes kerülni a teljesen ismeretlen gyártótól származó, tanúsítványokkal sem rendelkező eszközök beszerzését. A firmware frissítéséről és az alkalmazások naprakészen tartásáról folyamatosan gondoskodni kell, valamint érdemes monitorozni a helyi hálózat forgalmát, furcsa aktivitás jelei után kutatva. A biztonsági felhívásokat is érdemes figyelemmel kísérni, azokból ugyanis kiderül, mely eszközök lehetnek érintettek, illetve arra is fény derülhet, milyen jeleket érdemes keresni, amelyek fertőzésre utalhatnak.