НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Операторы ботнета Badbox 2.0 выявлены: ключевые фигуры китайской киберугрозы

4 мин чтенияИсточник: Krebs on Security
Diagram of Badbox 2.0 botnet control panel showing authorized user emails and connections to Chinese operators

Киберэксперты раскрыли личность операторов ботнета Badbox 2.0, связанного с Китаем и заразившего более 10 млн Android TV-устройств. Расследование FBI и Google продолжается.

Операторы ботнета раскрыты благодаря хвастовству киберпреступников

Кибербезопасности исследователи идентифицировали ключевых лиц, вероятно, управляющих ботнетом Badbox 2.0 — китайской киберугрозой, заразившей более 10 миллионов Android TV-стриминговых устройств. Прорыв произошёл после того, как операторы ботнета Kimwolf — отдельной, но не менее разрушительной вредоносной сети — поделились скриншотом панели управления Badbox 2.0, раскрыв несанкционированный доступ и предоставив критически важные данные о его администраторах.

Как ФБР, так и Google активно расследуют деятельность Badbox 2.0, который внедряет вредоносное ПО в Android TV-приставки ещё до их попадания к потребителям. Ботнет также распространяется через неофициальные магазины приложений, обеспечивая рекламное мошенничество и бэкдор-доступ к домашним сетям.

Технический анализ: как работает Badbox 2.0

Badbox 2.0 является преемником оригинальной кампании Badbox, пресечённой в 2024 году. В отличие от предшественника, который в основном атаковал Android TV-приставки, Badbox 2.0 расширил свою сферу влияния за счёт:

  • Предварительного заражения устройств до покупки: вредоносное ПО внедряется в прошивку, обеспечивая устойчивость даже после сброса к заводским настройкам;
  • Эксплуатации неофициальных магазинов приложений: пользователи невольно загружают вредоносные приложения во время настройки;
  • Организации масштабного рекламного мошенничества: скомпрометированные устройства генерируют поддельные рекламные показы, нанося рекламодателям ущерб в миллионы долларов.

Ботнет Kimwolf, заразивший более 2 миллионов устройств, недавно продемонстрировал способность перехватывать инфраструктуру Badbox 2.0. Операторы Kimwolf, известные под псевдонимами "Dort" и "Snow", добавили свой email (ABCD) в панель управления Badbox 2.0, что может указывать на потенциальное слияние или захват систем командного управления (C2) ботнета.

Ключевые фигуры, связанные с Badbox 2.0

Судебно-медицинский анализ скриншота панели управления Badbox 2.0 выявил семь авторизованных пользователей, включая:

  1. Чэнь Дайхай (陈代海)

    • Email: 34557257@qq.com (псевдоним: Chen)
    • Связан с компаниями Beijing Hong Dake Wang Science & Technology Co Ltd и Moxin Beijing Science and Technology Co. Ltd;
    • Домены, связанные с Badbox 2.0: asmeisvip[.]net, moyix[.]com, vmud[.]net;
    • Повторное использование пароля (cdh76111) обнаружено в аккаунтах cathead@gmail.com и daihaic@gmail.com.

  2. Чжу Чжиюй (朱志宇)

    • Email: xavierzhu@qq.com (псевдоним: Mr.Zhu)
    • Соучредитель Beijing Astrolink Wireless Digital Technology Co. Ltd;
    • Регистрация доменов включает astrolink[.]cn, ещё один домен, связанный с Badbox 2.0.

  3. Хуан Гуйлинь (桂林 黄)

    • Email: 189308024@qq.com (псевдоним: admin)
    • Связан с доменом guilincloud[.]cn и номером телефона 18681627767;
    • Активен в китайских социальных сетях под ником h_guilin.

Оставшиеся четыре пользователя, все с адресами электронной почты на qq.com, не имели чёткой корпоративной принадлежности и не ответили на запросы следствия.

Последствия и правовые риски

Масштаб и сложность Badbox 2.0 представляют серьёзные угрозы:

  • Конфиденциальность пользователей: скомпрометированные устройства могут похищать личные данные, включая учётные данные Wi-Fi и историю просмотров;
  • Безопасность сетей: заражённые устройства становятся шлюзами для дальнейших атак на домашние или корпоративные сети;
  • Финансовое мошенничество: схемы рекламного мошенничества отнимают доходы у легальных рекламодателей.

В июле 2025 года Google подал иск "Джон Доу" против 25 неустановленных ответчиков, обвиняя их в эксплуатации Badbox 2.0 с целью получения прибыли. В июньском предупреждении 2025 года ФБР предостерегло потребителей от использования неофициальных Android TV-приставок.

Несанкционированный доступ Kimwolf: переломный момент

Операторы Kimwolf воспользовались инфраструктурой Badbox 2.0 после того, как провайдеры резидентных прокси устранили уязвимости в своих системах. По словам источника, близкого к расследованию:

"Dort получил несанкционированный доступ к панели управления Badbox. Поскольку Badbox не продаёт прокси, он оставался незащищённым, что позволило Kimwolf загружать вредоносное ПО напрямую на устройства, заражённые Badbox".

Способ доступа остаётся неясным, однако аккаунт ABCD (связанный с Dort) вряд ли сохранится, так как следователи уведомили всех пользователей панели Badbox 2.0 о взломе.

Рекомендации для служб безопасности

  1. Аудит устройств: выявите и удалите неофициальные Android TV-приставки из сетей;
  2. Проверка прошивки: убедитесь, что устройства работают на прошивке, подписанной производителем, чтобы предотвратить предварительно установленное вредоносное ПО;
  3. Сегментация сети: изолируйте IoT-устройства, чтобы ограничить горизонтальное перемещение в случае компрометации;
  4. Разведка угроз: отслеживайте домены и IP-адреса, связанные с Badbox 2.0 (например, asmeisvip[.]net, moyix[.]com);
  5. Обучение пользователей: предупреждайте сотрудников и потребителей о рисках неофициальных магазинов приложений и пиратских стриминговых сервисов.

Заключение

Раскрытие личностей Чэнь Дайхая и Чжу Чжиюя как вероятных операторов Badbox 2.0 стало критическим шагом в ликвидации одного из крупнейших ботнетов, атакующих Android-устройства. Хотя правовые меры и технические меры противодействия уже предпринимаются, этот инцидент подчёркивает постоянную угрозу атак на цепочки поставок и необходимость более строгого контроля за производством и распространением IoT-устройств.

Поделиться

TwitterLinkedIn