Ένα νέο botnet που ονομάζεται BotenaGo, χρησιμοποιεί πάνω από τριάντα εκμεταλλεύσεις για να επιτεθεί σε εκατομμύρια δρομολογητές και συσκευές IoT.
Δείτε επίσης: Ο Ρώσος «Βασιλιάς της Απάτης» καταδικάστηκε για το botnet Methbot
Το BotenaGo γράφτηκε σε γλώσσα προγραμματισμού Golang (Go), η οποία έχει τραβήξει ιδιαίτερα την προσοχή των δημιουργών κακόβουλου λογισμικού τα τελευταία χρόνια, που το χρησιμοποιούν για τη δημιουργία ωφέλιμων φορτίων που είναι πιο δύσκολο να εντοπιστούν και να αναστραφούν.
Στην περίπτωση του BotenaGo, μόνο έξι από τις 62 μηχανές AV στο VirusTotal επισημαίνουν το δείγμα ως κακόβουλο και ορισμένες το προσδιορίζουν ως Mirai.
Το BotenaGo ενσωματώνει 33 εκμεταλλεύσεις για μια ποικιλία δρομολογητών, μόντεμ και συσκευών NAS, με μερικά αξιοσημείωτα παραδείγματα που δίνονται παρακάτω:
- CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: δρομολογητές D-Link
- CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: Συσκευές Netgear
- CVE-2019-19824: Δρομολογητές βασισμένοι στο Realtek SDK
- CVE-2017-18368, CVE-2020-9054: Δρομολογητές Zyxel και συσκευές NAS
- CVE-2020-10987: Προϊόντα Tenda
- CVE-2014-2321: Μόντεμ ZTE
- CVE-2020-8958: Guangzhou 1GE ONU
Ερευνητές της AT&T που ανέλυσαν το νέο botnet διαπίστωσαν ότι στοχεύει εκατομμύρια συσκευές με λειτουργίες που εκμεταλλεύονται τα παραπάνω ελαττώματα.
Δείτε ακόμα: Το Mozilla Thunderbird 91.3 κυκλοφόρησε για να διορθώσει σημαντικά ελαττώματα
Όταν εγκατασταθεί, το κακόβουλο λογισμικό απαντάτε σε δύο θύρες (31412 και 19412), όπου περιμένει να του σταλεί μια διεύθυνση IP. Μόλις ληφθεί μία, το bot θα εκμεταλλευτεί κάθε ευπάθεια σε αυτήν τη διεύθυνση IP για να αποκτήσει πρόσβαση.
Μόλις το BotenaGo αποκτήσει πρόσβαση, θα εκτελέσει εντολές απομακρυσμένα, για να στρατολογήσει τη συσκευή στο botnet.
Ανάλογα με τη συσκευή, το κακόβουλο λογισμικό χρησιμοποιεί διαφορετικούς συνδέσμους για να φέρει ένα αντίστοιχο ωφέλιμο φορτίο.
Το κακόβουλο λογισμικό δεν είναι ακόμη έτοιμο να λειτουργήσει και ένα δείγμα από την πρώιμη φάση ανάπτυξής του διέρρευσε κατά λάθος.
Συμπερασματικά, η εμφάνιση του BotenaGo είναι ασυνήθιστη δεδομένης της ελλιπούς επιχειρησιακής του κατάστασης, αλλά οι υποκείμενες δυνατότητές του δεν αφήνουν καμία αμφιβολία για τις προθέσεις των δημιουργών του.
Δείτε επίσης: MyKings botnet: Είναι ακόμα ενεργό και φέρνει πολλά κέρδη στους χειριστές του
Ευτυχώς, το νέο botnet έχει εντοπιστεί νωρίς και οι δείκτες παραβίασης είναι ήδη διαθέσιμοι. Ωστόσο, υπάρχει πληθώρα ευάλωτων ηλεκτρονικών συσκευών προς εκμετάλλευση, οπότε υπάρχει κίνητρο για τους παράγοντες απειλής να συνεχίσουν την ανάπτυξη του BotenaGo.
