Möödunud aasta suvel kirjutasime, et levimas on BADBOX 2.0 robotvõrgustik, mis kasutab inimeste koduseid seadmeid küberrünnakuteks. Sel aastal saame tõdeda, et levimas on veelgi ohtlikum robotvõrgustik Kimwolf, mida küberkurjategijad kasutavad rünnakute läbiviimisel ning mis on nakatanud maailmas üle kahe miljoni seadme. USAs on Kimwolf üllatuslikult levinud ka valitsusasutustes ja eraettevõtetes. CERT-EE on tuvastanud Eestis umbes 400 nakatunud seadet.
Kuidas robotvõrgustik toimib?
Kimwolf robotvõrgustik sihib peamiselt Androidi seadmeid, eriti odavamaid digibokse, mille on valmistanud Hiina vähetuntud tootjad. Kimwolfi teeb eriliseks ja ohtlikuks, et see suudab mööda minna tavalistest kaitsemeetmetest. Kui tavaliselt on koduses wifi võrgus olevad seadmed (telekad, arvutid, nutividinad) ruuteri tulemüüri taga ja kasutavad privaatseid aadresse, siis Kimwolfi levimisele aitab kaasa seadmetesse juba tootmises või hilisema tarneahela käigus eelpaigaldatud pahavara, mille ostjad saavad pahaaimamatult tootega kaasa.
Pahavaraga nakatunud seadmeid renditakse järgmistele kurjategijatele, kes seejärel suunavad oma pahatahtliku liiklus läbi nakatanud seadmete. Seega toimib nakatunud seade justkui vahendajana: võtab vastu kurjategijate poolt tuleva liikluse ja suunab selle edasi, jättes seejuures mulje, et internetiliiklus tuleb sinu kodusest ühendusest. Arvatakse, et hiljutise rekordilise DDoS rünnaku taga, mille maht ulatus 29,7 terabaidini sekundis, võis olla just seesama robotvõrgustik.
Kimwolfi robotvõrgustiku teeb eriti ohtlikuks see, et isegi kui sina pole ostnud mõnda taolist seadet, aga sinu kodusesse wifi võrku ühendub mõni külaline, kellel on telefonis mõni kahtlane pahavaraga rakendus, võivad ka sinu haavatavad seadmed nakatuda. Samuti suudab see robotvõrgustik võtta koduses võrgus olevad haavatavad seadmed üle administraatori õigustega.
Millised seadmed on nakatunud?
Enamus nakatunud seadmeid on vähetuntud Hiina brändide (off-brand) Androidi tooted. Neid saab üsna soodsa hinnaga osta internetipoodidest ja nad võivad lubada tasuta ligipääsu voogedastusteenustele või muid hüvesid. Eelinstalleeritud pahavara on üheks põhjuseks, miks nendel seadmetel on niivõrd odav hind. Paljud need Hiinast pärit tooted on mõeldud ainult ekspordiks ja Hiinas endas neid kasutada ei tohi.
Kimwolfi robotvõrgustikul on veel üks seos Hiinaga – nimelt sai selle plahvatuslik kasv alguse just tänu Hiinas olevale ettevõttele IPIDEA, mis opereerib ühte maailma suurimat koduvõrgu proksiteenust (proxy service; teenus, mille veebipäring tuleb kodukasutaja IP-aadressilt vältimaks päringute blokeerimist veebisaitide poolt), mida robotvõrgustik kuritarvitas.
Küberturvalisuse firma Synthient pakub oma veebilehel tasuta lahendust, kus saad kontrollida, kas sinu IP-aadress on nende teada nakatunud. Rõhutame, et üldjuhul on kodukasutajad dünaamiliste IP-de taga, seega kui leht nakatumist ei tuvasta, ei pruugi see siiski täie kindlusega tähendada, et sinu kodune võrk on pahavaravaba.
Küll aga kui see näitab, et oled nakatunud, soovitame võtta kiiresti ühendust oma internetiteenuse pakkujaga ja nendega edasiste sammude osas konsulteerida.
Mida enda kaitsmiseks teha?
- Kui miski tundub liiga hea ja odav, siis sellel on põhjus. Odavatel seadmetel, mis pakuvad tasuta teenuseid, võib olla kaasas pahavara. Soovitame vältida tundmatute Hiina väiketootjate Androidi digibokse ja osta usaldusväärsete tootjate seadmeid. Kaalu enne ostu tegemist põhjalikult, kas väike rahaline kokkuhoid ikka on kaasnevaid riske väärt.
- Kontrolli oma seadmeid. Synthient avaldas nimekirja seadmetest, mis võivad olla nakatunud. Kui avastad oma seadme nimekirjast, lülita see välja, võta ühendust näiteks oma internetiteenuse pakkujaga ja teavita sellest ka meili teel ka [email protected].
- Loo eraldi wifi võrk külalistele. Kuidas seda täpsemalt teha, loe ennetusportaalist itvaatlik.ee.
Loomise kuupäev: 23.01.2026
