Ένα επικίνδυνο νέο κακόβουλο λογισμικό που ονομάζεται Kimwolf έχει μολύνει αθόρυβα πάνω από 2 εκατομμύρια συσκευές σε όλο τον κόσμο, αναγκάζοντάς τες να λειτουργούν ως παράνομοι διακομιστές μεσολάβησης χωρίς να το γνωρίζουν οι ιδιοκτήτες.
Το botnet έχει αναπτυχθεί με ανησυχητική ταχύτητα και επί του παρόντος χρησιμοποιείται για τη διεξαγωγή διαδικτυακής απάτης, την εκτόξευση ισχυρών κυβερνοεπιθέσεων και την κλοπή πληροφοριών από εκατομμύρια χρήστες.
Οι ερευνητές ασφαλείας ανακάλυψαν αυτήν την ανησυχητική τάση στα τέλη του 2025, αποκαλύπτοντας μια εξελιγμένη μέθοδο επίθεσης που εκμεταλλεύεται ένα κενό στον τρόπο με τον οποίο τα δημοφιλή δίκτυα μεσολάβησης προστατεύουν τα συστήματά τους.
Η μόλυνση στοχεύει φθηνά κουτιά Android TV και ψηφιακές κορνίζες φωτογραφιών που πωλούνται στο διαδίκτυο, πολλά από τα οποία προέρχονται από εργοστάσια με ήδη ενεργοποιημένες επικίνδυνες ρυθμίσεις ασφαλείας.
Ο Benjamin Brundage, ένας 22χρονος ερευνητής κυβερνοασφάλειας και ιδρυτής της Synthient, άρχισε να ερευνά τον Kimwolf τον Οκτώβριο του 2025 ενώ σπούδαζε για τελικές εξετάσεις στο Ινστιτούτο Τεχνολογίας του Ρότσεστερ.
Η έρευνά του αποκάλυψε ένα ανησυχητικό μοτίβο: το κακόβουλο λογισμικό εξαπλώθηκε λόγω μιας αδυναμίας στον τρόπο λειτουργίας των μεγαλύτερων υπηρεσιών πληρεξούσιων κατοικιών στον κόσμο.
Ο Brundage ανακάλυψε ότι οι εισβολείς μπορούσαν να παρακάμψουν τους κανόνες ασφαλείας αλλάζοντας τις ρυθμίσεις DNS για πρόσβαση σε ιδιωτικά οικιακά δίκτυα μέσω μολυσμένων συσκευών μεσολάβησης.
Διαπίστωσε ότι το μεγαλύτερο δίκτυο μεσολάβησης, που ονομάζεται IPIDEA, είχε αφήσει ανοιχτό ένα σοβαρό κενό ασφαλείας που επέτρεπε στους εγκληματίες να εισχωρήσουν στα οικιακά δίκτυα των ανθρώπων και να φυτέψουν κακόβουλο λογισμικό σε συνδεδεμένες συσκευές χωρίς κανένα εμπόδιο ελέγχου ταυτότητας.
Ο αναλυτής και ερευνητής του KrebsOnSecurity, Brian Krebs διάσημος Τα κρίσιμα ευρήματα του Brundage αφού ο ερευνητής ειδοποίησε πολλούς παρόχους μεσολάβησης για την ευπάθεια.
Ροή επίθεσης
Η κάλυψη του Krebs υπογράμμισε πώς η έρευνα αποκάλυψε τον διττό εφιάλτη ασφαλείας: πρώτον, πολλά ανεπίσημα TV box έρχονται με κακόβουλο λογισμικό προεγκατεστημένο από το εργοστάσιο και, δεύτερον, αυτές οι συσκευές έχουν μια ισχυρή δυνατότητα που ονομάζεται Android Debug Bridge που παραμένει ενεργοποιημένη, επιτρέποντας σε οποιονδήποτε στο ίδιο δίκτυο να τα έχει πλήρη έλεγχο με μια απλή εντολή.
Η επίθεση εξαπλώνεται μέσω ενός συνδυασμού ασθενούς ασφάλειας σε φθηνές συσκευές ροής και ευάλωτα δίκτυα μεσολάβησης.
Οι εισβολείς εντοπίζουν μολυσμένα τελικά σημεία διακομιστή μεσολάβησης σαρώνοντας συσκευές με ενεργοποιημένη τη λειτουργία Android Debug Bridge και, στη συνέχεια, χρησιμοποιούν μια απλή τεχνική: εκδίδουν μια εντολή που λέει “adb connect [device-ip]:5555” για να αποκτήσετε πρόσβαση υπερχρήστη.
.webp.jpeg "Το Kimwolf Botnet χακάρισε 2 εκατομμύρια συσκευές και έκανε τη σύνδεση του χρήστη στο Διαδίκτυο ως κόμβο μεσολάβησης")
Μόλις μπουν μέσα, ρίχνουν το ωφέλιμο φορτίο κακόβουλου λογισμικού κατευθύνοντας τα συστήματα να επισκεφτούν μια συγκεκριμένη διεύθυνση ιστού και να χρησιμοποιήσουν μια φράση πρόσβασης “krebsfiveheadindustries” για να ξεκλειδώσουν την κακόβουλη λήψη.
Τα δεδομένα Synthient δείχνουν ότι τα δύο τρίτα των μολυσμένων συσκευών είναι κουτιά Android TV, ενώ οι υπόλοιπες μολύνσεις εξαπλώνονται σε ψηφιακές κορνίζες φωτογραφιών και κινητά τηλέφωνα που εκτελούν κρυφές εφαρμογές διακομιστή μεσολάβησης.
Το κακόβουλο λογισμικό αναγκάζει αυτές τις συσκευές να αναμεταδίδουν μηνύματα ανεπιθύμητης αλληλογραφίας, να διαπράττουν διαφημιστική απάτη, να επιχειρούν εξαγορές λογαριασμών και να συμμετέχουν σε κατανεμημένες επιθέσεις άρνησης υπηρεσίας που μπορούν να φέρουν σημαντικούς ιστότοπους εκτός σύνδεσης για εκτεταμένες περιόδους.
Η ανακάλυψη των μεθόδων επιμονής του Kimwolf αποκαλύπτει πώς το botnet αναδομείται μετά από διακοπές.
Ο Brundage παρατήρησε ότι το δίκτυο ανακάμπτει από μια προσπάθεια κατάργησης, επιστρέφοντας από σχεδόν μηδενικά μολυσμένα συστήματα σε 2 εκατομμύρια παραβιασμένες συσκευές μέσα σε λίγες μόνο ημέρες, περνώντας σε σήραγγα μέσω της παροχής φρέσκων τερματικών σημείων διακομιστή μεσολάβησης της IPIDEA.
Αυτή η δυνατότητα ταχείας ανάκτησης προέρχεται από την τεράστια δεξαμενή της IPIDEA με πάνω από 100 εκατομμύρια διαθέσιμες διευθύνσεις διακομιστή μεσολάβησης κατοικιών. Οι χειριστές κακόβουλου λογισμικού δημιουργούν έσοδα από το botnet τους μέσω πολλαπλών καναλιών: πουλώντας υπηρεσίες εγκατάστασης εφαρμογών, ενοικίαση εύρους ζώνης διακομιστή μεσολάβησης και παροχή δυνατοτήτων επίθεσης DDoS σε άλλους εγκληματίες.
Οι ερευνητές ασφαλείας αναμένουν ότι αυτό το μοτίβο επίθεσης θα εξαπλωθεί καθώς περισσότερες εγκληματικές ομάδες ανακαλύπτουν αυτές τις αδυναμίες, μετατρέποντας τα οικιακά δίκτυα μεσολάβησης σε πρωταρχικούς στόχους για απόπειρες παραβίασης συσκευών και παραβίασης δικτύου μεγάλης κλίμακας.
