Федеральное бюро расследований (ФБР) выпускает это публичное объявление, чтобы предупредить общественность о киберпреступниках, использующих устройства Интернета вещей (IoT)1, подключенные к домашним сетям, для осуществления преступной деятельности с использованием ботнета BADBOX 2.02. Киберпреступники получают несанкционированный доступ к домашним сетям через скомпрометированные устройства IoT, такие как устройства потоковой передачи ТВ, цифровые проекторы, информационно-развлекательные системы для автомобилей, цифровые фоторамки и другие продукты. Большинство зараженных устройств были произведены в Китае. Киберпреступники получают несанкционированный доступ к домашним сетям, либо настраивая продукт с помощью вредоносного программного обеспечения до его покупки пользователями, либо заражая устройство во время загрузки необходимых приложений, содержащих бэкдоры, как правило, во время процесса настройки3. После того как эти скомпрометированные устройства IoT подключаются к домашним сетям, зараженные устройства могут стать частью ботнета BADBOX 2.0 и домашних прокси-сервисов4, которые, как известно, используются для вредоносной деятельности.

Что такое ботнет BADBOX 2.0

BADBOX 2.0 был обнаружен после того, как в 2024 году была сорвана первоначальная кампания BADBOX. BADBOX был идентифицирован в 2023 году и в основном состоял из устройств с операционной системой Android, которые были скомпрометированы вредоносным программным обеспечением-бэкдором перед покупкой. BADBOX 2.0, помимо компрометации устройств перед покупкой, также может заражать устройства, требуя загрузки вредоносных приложений с неофициальных торговых площадок. Ботнет BADBOX 2.0 состоит из миллионов инфицированных устройств и поддерживает многочисленные бэкдоры к прокси-сервисам, которые киберпреступники используют, продавая или предоставляя бесплатный доступ к скомпрометированным домашним сетям для использования в различных преступных целях.

Индикаторы

Общественности настоятельно рекомендуется проверять устройства IoT в своих домах на наличие любых признаков компрометации и рассмотреть возможность отключения подозрительных устройств от своих сетей. ФБР определило потенциальные индикаторы, которые могут помочь в обнаружении вредоносных устройств. Один только индикатор не может точно определить вредоносную киберактивность или преступление. Следующие подозрительные действия/индикаторы не относятся ни к одному человеку, группе или предприятию и должны рассматриваться в контексте.

Возможные индикаторы активности ботнета BADBOX 2.0 включают:

Наличие подозрительных торговых площадок, где загружаются приложения.
Требование отключения настроек защиты Google Play.
Универсальные устройства потоковой передачи ТВ, рекламируемые как разблокированные или способные получать доступ к бесплатному контенту.
Устройства IoT, рекламируемые от неизвестных брендов.
Устройства Android, не сертифицированные Play Protect.
Необъяснимый или подозрительный интернет-трафик.

Меры по снижению рисков

Следующие стратегии снижения рисков могут стать эффективными шагами для минимизации воздействия несанкционированных домашних прокси-сетей.

Поддержание осведомленности и мониторинг интернет-трафика домашних сетей.
Проверка всех устройств IoT, подключенных к домашним сетям, на предмет подозрительной активности.
Избегайте загрузки приложений с неофициальных торговых площадок, рекламирующих бесплатный потоковый контент.
Обновление всех операционных систем, программного обеспечения и встроенного ПО. Своевременное исправление является одним из наиболее эффективных и экономически выгодных шагов для минимизации воздействия угроз кибербезопасности. Отдавайте приоритет исправлению уязвимостей брандмауэра и известных эксплуатируемых уязвимостей в системах, подключенных к Интернету.

Благодарности

Google, Human Security, Trend Micro и Shadowserver Foundation внесли свой вклад в этот продукт.

Сообщение о жертвах

Если вы считаете, что стали жертвой вторжения, отправьте отчет в Центр жалоб на интернет-преступления (IC3) ФБР по адресу www.ic3.gov.
______________

Отказ от ответственности

Информация в этом отчете предоставляется «как есть» только в информационных целях. ФБР не поддерживает никакие коммерческие организации, продукты, компании или услуги, включая любые организации, продукты или услуги, связанные в этом документе. Любая ссылка на конкретные коммерческие организации, продукты, процессы или услуги с помощью знака обслуживания, торговой марки, производителя или иным образом не представляет собой и не подразумевает одобрения, рекомендации или предпочтения со стороны ФБР.
____________________________— относится к сети устройств, транспортных средств, приборов и других физических объектов, которые оснащены встроенными датчиками, программным обеспечением и сетевым подключением.

— сеть подключенных к Интернету устройств, скомпрометированных вредоносным ПО, которыми можно управлять удаленно без ведома владельцев.

— скрытая, несанкционированная точка входа в систему, которая предназначена для обхода мер безопасности.

— тип прокси-сервера, который использует реальные IP-адреса, назначаемые домашним пользователям их поставщиками интернет-услуг (ISP).
_______________________________________
https://www.ic3.gov/PSA/2025/PSA250605
t.me/toresaysPlus/74596