UDP flood з Android-пристроїв

[pavlabor 1 978]

Мільйони Android-смартфонів на чипах MediaTek опинилися під загрозою через серйозну вразливість.

Про проблему повідомили експерти з безпеки. За словами технічного директора Ledger Шарль Гійме, деякі пристрої — зокрема смартфони Nothing — можна зламати приблизно за 45 секунд.

Стверджується, що атака можлива навіть коли телефон вимкнений.

Також повідомляється, що виробник чипів знав про проблему, але виправлення довгий час не випускали.
https://t.me/startup_ukr/6468

 

Тема (UDP flood з Android-пристроїв) зараз масово "гуляє" мережами провайдерів.

1. MediaTek SDK Vulnerability: У багатьох дешевих китайських Smart TV та приставках (STB) на чіпах MediaTek є дірки, через які залітає малварь.

2. QUIC Masking: Вони часто мімікрують під 443 порт (YouTube/Google), щоб провайдерські фільтри їх не чіпали.

3. Internal Flooding: Особливість у тому, що вони часто атакують не зовнішні ресурси, а сканують сусідів або валять на рандомні порти, забиваючи вихідний канал (upstream) абонента і вбиваючи PPS на шлюзах.

В мережевих спільнотах (типу NAG або тематичних чатах системних адміністраторів) цей кейс зараз один з найпопулярніших.

 

Виглядає приблизно так.
Інфікована андроід-приставка до телевізора, підключена по Wi-Fi, на старенький TP-link, 2.4 частоту вижирає повністю, ніякі пристрої не можуть підключитись до Wi-Fi роутера.
Допомагає відключення приставки.
15-16 лютого сканер автоматично заблокував 40% клієнтів.

В той же час.
З рахунків клієнтів «А-Банку» списали гроші через хакерську атаку

Один з найбільших банків України «А Банк» зазнав одну з наймасштабніших хакерських атак. Частина клієнтів зіткнулася з неправомірним списанням грошей. Атака відбулась з 15 на 16 лютого, проте пресслужба повідомила про атаку 18 лютого.

В «А-Банку» зазначили, що це була нова, раніше невідома банківській системі атака.

 

До цього були урядові сайти

У ніч з 13 на 14 січня хакери атакували урядові сайти. Не працювали сайти уряду, Державної служби України з надзвичайних ситуацій, Міністерства освіти і науки, Міністерства закордонних справ.

Після того підрядника Нацбанку

Російські хакери атакували компанію-підрядника, яка надає послуги інтернет-магазину нумізматичної продукції Національного банку України. Роботу цього сервісу тимчасово призупинено.

 

Monobank

У роботі мобільного банку Monobank зафіксовано значні технічні труднощі. Користувачі масово повідомляють про неможливість здійснити базові операції, зокрема перекази між картками та проведення виплат.

 

Ощадбанк

Ощадбанк тимчасово зупинив роботу електронних сервісів після спрацювання систем безпеки. Причиною стала підозра на DDoS-атаку на сервери банку.

 

Та багато інших установ які публічно про це не повідомляють.

 

 

 

Відредаговано 2026-03-14 16:19:35 pavlabor

[vitalle 38]

Почалось 14 02. Допомагає збиття на заводські налаштування, поки все спокійно, де restore. нонаме телевізори андр 7,1,1 (Gruhelm, bravis, Maxtor) х96мах+ H96alwinner, H96q поки такі були замічені, підсирає знатно 100мбіт якщо по кабелю, інет лежить у абоненті жене UDP на різні порти, шейпер не працює.

Ось приклад. Абоненти почали переходить до іншого прова, думали я як провайдер їм щось прикрукчую.

Так срали тотолінки 350, прошив, то перестали.

[a_n_h 608]

3 часа назад, pavlabor сказав:

  Вітаю!

  Підскажіть, чим моніторите:

 

 

[pavlabor 1 978]

1 час назад, a_n_h сказав:

Вітаю!

  Підскажіть, чим моніторите:

Складно сказати що саме, то скрін з trafshow,

а взагалі це налаштування, комплекс стандартного і самописного софту.
Починається з моніторингу навантаження на CPU
# top -SHz -u | grep -E "intr|swi1: net"
  12      0      -72    -     0B   480K WAIT     7  36,5H  15,67% intr{swi1: netisr 7}
  12      0      -72    -     0B   480K WAIT     4  36,2H  13,28% intr{swi1: netisr 4}
  12      0      -72    -     0B   480K WAIT     0  35,8H  12,50% intr{swi1: netisr 0}
  12      0      -72    -     0B   480K WAIT     1  31,7H  11,87% intr{swi1: netisr 1}
  12      0      -72    -     0B   480K WAIT     2  33,4H  11,77% intr{swi1: netisr 2}
  12      0      -72    -     0B   480K WAIT     5  34,1H   9,86% intr{swi1: netisr 5}
  12      0      -72    -     0B   480K RUN      6  34,3H   9,77% intr{swi1: netisr 6}
  12      0      -72    -     0B   480K CPU3     3  32,5H   8,89% intr{swi1: netisr 3}

Рейтинг агресивних клієнтів
# tcpdump -ni vlan237 -c 10000 "udp and src net 10.180.236.0/23" | awk '{print $3}' | cut -d. -f1-4 | sort | uniq -c | sort -nr | head -n 10 ;
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan237, link-type EN10MB (Ethernet), capture size 65535 bytes
10000 packets captured
104962 packets received by filter
0 packets dropped by kernel
1120 10.180.236.107
695 10.180.237.135
621 10.180.237.11
403 10.180.237.113
388 10.180.237.97
333 10.180.237.112
326 10.180.237.4
285 10.180.237.136
283 10.180.237.2
259 10.180.237.148

І так далі