Millioner af routere og IoT-enheder er udsat for denne sårbarhed

Cyberkriminelle for at tjene penge udfører forskellige typer angreb. Dem, der normalt rapporterer de bedste resultater, er ransomware og phishing. Nogle gange, enten individuelt eller som en gruppe, genererer de denne malware med det formål at inficere forskellige enheder. Det, der gør dem mere effektive, er, at de inkluderer uopdagede sårbarheder i routere og andre enheder. Men i dag er det, der er sket, at kildekoden for malware, der allerede eksisterede, er blevet offentliggjort. I denne artikel skal vi se, hvordan millioner af routere og IoT enheder bliver kompromitteret af malware-kildekode, der er blevet offentliggjort på GitHub.

Millioner af routere og IoT-enheder er udsat for denne sårbarhed

Millioner af routere og andre enheder i fare

Ifølge en sikkerhedsleverandør, " BotenaGo " indeholder udnytter mere end 30 sårbarheder i produkter fra flere leverandører og bruges til at sprede Mirai botnet malware. Forfatterne af denne farlige malware rettet mod millioner af routere og Internet of Things (IoT) enheder har uploadet sin kildekode til GitHub. Det betyder, at andre kriminelle nu hurtigt kan generere nye varianter af værktøjet eller bruge det, som det er nu, til at køre deres kampagner. Du kan være interesseret i, hvordan du ved, om din IP er en del af et botnet, og hvordan du undgår det.

Forskere fra AT&T Alien Labs var de første til at opdage denne malware og kaldte den BotenaGo. Denne malware er skrevet i Go, et programmeringssprog, der er blevet ret populært blandt cyberkriminelle. I dette tilfælde kommer det spækket med udnyttelser til over 30 sårbarheder, der påvirker mange brands , herunder Linksys, D-Link, NETGEAR og ZTE.

Sådan virker denne malware

Hvad angår BotenaGo, blev det designet til at udføre eksterne shell-kommandoer på systemer, hvor en sårbarhed er blevet udnyttet. Sidste år en AT&T Alien Labs analyse fandt først ud af, at BotenaGo-malwaren brugte to forskellige metoder til at modtage kommandoer til at angribe ofre. Disse to procedurer består af:

  1. De brugte to bagdøre til at lytte og modtage IP-adresserne på målenhederne.
  2. De opsætter en lytter til system-I/O-brugerinput og modtager destinationsinformation gennem den.

Disse forskere opdagede også, at malwaren er designet til at modtage kommandoer fra en fjernserver, den har ikke nogen aktiv kommando- og kontrolkommunikation. De antog således, at BotenaGo var en del af en større malware-pakke og sandsynligvis et af flere værktøjer, der blev brugt i et angreb. Desuden viste nyttelast-linkene sig at ligne dem, der blev brugt af Mirai botnet-malware. Ud fra dette kunne det udledes, at BotenaGo sandsynligvis er et nyt værktøj for Mirai-operatørerne.

IoT-enheder og millioner af routere er berørt

Årsagerne til, at BotenaGo kildekode er blevet udgivet via GitHub, er uklare. De mulige konsekvenser kan dog estimeres. Det offentliggørelse af kildekoden kunne i høj grad øge varianterne af BotenaGo . Årsagen er, at andre malware-forfattere bruger og tilpasser kildekoden til deres specifikke formål og angrebskampagner. Dette vil uden tvivl få millioner af routere og IoT-enheder til at blive påvirket. De berørte mærker bliver nødt til at arbejde hårdt for at rette op på sårbarhederne og frigive de tilsvarende opdateringer så hurtigt som muligt for at beskytte disse computere. Desuden er en af ​​BotenaGo-nyttelastserverne også på kompromis-indikatoren over de nyligt opdagede Log4j-sårbarheder.

Hvad angår BotenaGo-malwaren, så består den af ​​kun 2,891 kodelinjer og kan være et godt udgangspunkt for nye varianter. Også, at det kommer spækket med udnyttelser til mere end 30 sårbarheder for millioner af routere og IoT-enheder, er en anden faktor, som malware-forfattere sandsynligvis vil finde attraktive. Blandt de mange sårbarheder, som BotenaGo kan udnytte, finder vi:

  • CVE-2015-2051 påvirker visse D-Link Wi-Fi-routere.
  • CVE-2016-1555, der påvirker Netgear-produkter,
  • CVE-2013-3307 på Linksys-enheder.
  • CVE-2014-2321, der påvirker visse ZTE-kabelmodemmer.

Endelig er en bekymrende kendsgerning, at ifølge AT&T Alien Labs er kun tre af de 60 VirusTotal-antivirus i øjeblikket i stand til at opdage denne malware.