Riigi Infosüsteemi Amet (RIA) hoiatab, et levimas on uus robotseadmete võrgustik ehk botnet nimega BADBOX 2.0, mille kaudu küberkurjategijad kasutavad ära tavakasutajate koduseid internetti ühendatud seadmeid küberrünnakute läbiviimiseks.
Tavaliste kodukasutajate seadmetest koosneva robotvõrgustiku muudab ohtlikuks see, et kontrolli omavad selle üle kurjategijad, kes võivad seda ära kasutada küberkuritegude läbiviimiseks. Robotvõrgustikus on üle miljoni seadme pea kõikides maailma riikides, sealhulgas Eestis üle 7000 seadme.
Näiteks saab sellises võrgustikus olevaid seadmeid ära kasutada mõne teenuse vastu teenustõkestusründe ehk DDoS-ründe läbiviimiseks, kasutaja andmete varastamiseks, pahavara jagamiseks ja veel paljuks muuks, milleks seadmete omanikud tõenäoliselt luba pole andnud.
Kuidas seadmed nakatuvad?
Küberkurjategijatel on võimalik ligi pääseda tavakasutajate kodusele internetivõrgule läbi pahavaraga nakatunud värkvõrgu (ehk asjade interneti) seadmete, näiteks telekate, voogedastusseadmete, projektorite, digitaalsete pildiraamide jm. Pahavara (näiteks vo1d) on seadmetesse paigaldatud juba enne seadme müümist kasutajale või on kasutaja tõmmanud alla kontrollimata Android rakenduse mitteametlikust kohast (st mujalt kui Google Play Store’ist) ning sellel rakendusel on eelnevalt paigaldatud „tagauks“.
Kui nakatunud seade ühendatakse kodusesse võrku, siis see seade võib saada botneti BADBOX 2.0 osaks. Föderaalse Juurdlusbüroo (FBI) andmetel on selliseid nakatunud seadmeid juba kasutatud pahatahtlikuks tegevuseks (SalesTracker Group, MoYu Group, Lemon Group ja LongTV).
Enamik sellistest seadmetest on toodetud Hiina Rahvavabariigis ja tegemist on üldjuhul vähemtuntud tootjate seadmetega.
Mis on BADBOX 2.0 võrgustik?
BADBOX 2.0 võrgustik on järg eelnevale BADBOX võrgustikule, mis kasutas Triada pahavara ja tuvastati 2022. aastal. Võrgustik koosnes peamiselt operatsioonisüsteemi Android kasutatavatest seadmetest, millele oli enne ostu paigaldatud „tagauks“. Saksamaa riiklik küberturbeamet (BSI) suutis 2024. aastal tõkestada BADBOX’i leviku, kui nakatunud oli juba 30 000 seadet (lisainfo avaneb uues vahekaardis).
2025. aastal ilmnes, et võrgustik on uuesti ellu ärganud ja BADBOX 2.0 on nakatanud miljoneid seadmeid üle maailma avaneb uues vahekaardis. Peamiselt on need Hiina päritolu Androidi seadmed. Tegemist on seni avastatutest suurima botnetiga, mis kasutab rünnakuteks ka telekaid.
BADBOX 2.0 võrgustiku puhul on eriti murettekitav asjaolu, et see võimaldab küberkurjategijatel kasutada koduseadmete IP-aadresse, mille on neile omistanud internetiteenuse pakkujad. Nii jääb mulje, et seadmetes toimuv liiklus on tavapärane ega ärata kahtlust. Kui seadmed on kurjategijate kontrolli all, võib enamik nendes toimuvast liiklusest ollagi tavapärane. Aeg-ajalt aga kasutatakse neid ära näiteks teenustõketusrünnakute ehk DDoS-rünnakute läbiviimiseks. See teeb rünnakute tuvastamise ja peatamise omakorda raskemaks.
Mida peaks tegema?
Tavakasutajal on kahjuks väga keeruline tuvastada, kas mõni tema seade on nakatunud ja on robotvõrgustiku liige või mitte. Oluline on tagada oma koduse võrgu ja värkvõrguseadmete turvalisus.
Et hoida oma kodust võrku võimalikult turvalisena soovitame:
- Enne seadme soetamist uurida seadme tootja tausta ja kasutada ainult tuntud tootjate seadmeid, millele pakutakse ka garantiid ja turvauuendusi.
- Kaaluda, kas soetatud seade peab olema ühendatud internetiga ning vajadusel seda piirata.
- Seadme soetamise järgselt muuta kohe ära algseadistatud kasutajatunnus ja parool, kuna need võivad olla internetist leitavad.
- Regulaarselt uuendada kõigi oma seadmete tarkvara, et avastatud turvanõrkused saaksid paigatud.
- Rakendusi laadida alla ainult ametlikest kanalitest (Androidi puhul on selleks Google Play Store).
- Olla ettevaatlik toodete puhul, mis reklaamivad ennast kui „lukust lahti tooted“ või pakuvad tasuta teenuseid, mis on tavapäraselt tasulised. Sedasi meelitavad küberkurjategijad kasutajaid pahavaraga tarkvara seadmesse paigaldama.
- Olla väga ettevaatlik, kui oled Androidi rakendusi alla tõmmanud väljaspool ametlikke kanaleid või kui Google Play kaitseseaded (Google Play protect settings) on välja lülitatud ja on märgata tavapäratut võrguliiklust. Soovitame sellistel juhtudel pöörduda oma internetiteenuse pakkuja poole.
Koduse võrgu turvalisuse kohta loe lähemalt ITvaatlik.ee portaalist avaneb uues vahekaardis.
🔮 Kui see sõnum Sind puudutas, jaga seda ka oma sõpradega!
Aidates teistel leida valgust, tood valgust ka enda ellu. Vajuta "Jaga" ja lase headusel levida.
