Voittoa tavoittelevat kyberrikolliset suorittavat erilaisia hyökkäyksiä. Parhaat tulokset raportoivat yleensä kiristysohjelmat ja tietojenkalastelu. Joskus, joko yksittäin tai ryhmänä, he luovat tämän haittaohjelman tarttuakseen eri laitteisiin. Mikä tekee niistä tehokkaampia, on se, että ne sisältävät reitittimien ja muiden laitteiden havaitsemattomia haavoittuvuuksia. Tänään on kuitenkin tapahtunut niin, että jo olemassa olevan haittaohjelman lähdekoodi on julkaistu. Tässä artikkelissa aiomme nähdä, kuinka miljoonat reitittimet ja Esineiden internet laitteet ovat vaarantuneet GitHubissa julkaistujen haittaohjelmien lähdekoodilla.
Miljoonat reitittimet ja muut laitteet ovat vaarassa
Tietoturvatoimittajan mukaan" BotenaGo " sisältää hyödyntää yli 30 haavoittuvuutta useiden toimittajien tuotteissa ja sitä käytetään Mirai-botnet-haittaohjelman levittämiseen. Tämän miljooniin reitittimiin ja Internet of Things (IoT) -laitteisiin kohdistetun vaarallisen haittaohjelman tekijät ovat ladanneet sen lähdekoodin GitHubiin. Tämä tarkoittaa, että muut rikolliset voivat nyt nopeasti luoda uusia versioita työkalusta tai käyttää sitä sellaisenaan kampanjoidensa toteuttamiseen. Saatat olla kiinnostunut siitä, kuinka voit tietää, onko IP-osoitteesi osa botnet-verkkoa, ja kuinka välttää se.
AT&T Alien Labsin tutkijat havaitsivat ensimmäisenä tämän haittaohjelman ja antoivat sille nimen BotenaGo. Tämä haittaohjelma on kirjoitettu Go-ohjelmointikielellä, josta on tullut varsin suosittu verkkorikollisten keskuudessa. Tässä tapauksessa se tulee täynnä hyväksikäyttöä yli 30 haavoittuvuudelle, jotka vaikuttavat moniin brändeihin , mukaan lukien Linksys, D-Link, NETGEAR ja ZTE.
Kuinka tämä haittaohjelma toimii
Mitä tulee BotenaGoon, se on suunniteltu suorittamaan komentotulkkikomentoja järjestelmissä, joissa haavoittuvuutta on hyödynnetty onnistuneesti. Viime vuonna an AT&T Alien Labs -analyysi Ensin havaittiin, että BotenaGo-haittaohjelma käytti kahta eri menetelmää vastaanottaakseen komentoja uhrien hyökkäykseen. Nämä kaksi menettelyä koostuvat:
- He käyttivät kahta takaovea kuunnellakseen ja vastaanottaakseen kohdelaitteiden IP-osoitteita.
- He perustavat kuuntelijan järjestelmän I/O-käyttäjän syötölle ja vastaanottavat kohdetiedot sen kautta.
Nämä tutkijat havaitsivat myös, että haittaohjelma on suunniteltu vastaanottamaan komentoja etäpalvelimelta, sillä ei ole aktiivista komento- ja ohjausviestintää. He olettivat siten, että BotenaGo oli osa suurempaa haittaohjelmapakettia ja todennäköisesti yksi useista hyökkäyksessä käytetyistä työkaluista. Lisäksi hyötykuormalinkkien havaittiin olevan samanlaisia kuin Mirai-botnet-haittaohjelman käyttämät linkit. Tästä voisi päätellä, että BotenaGo on luultavasti uusi Mirai-operaattoreiden työkalu.
IoT-laitteet ja miljoonat reitittimet vaikuttavat
Syyt miksi BotenaGo lähdekoodi on julkaistu GitHubin kautta, ovat epäselviä. Mahdolliset seuraukset voidaan kuitenkin arvioida. The lähdekoodin julkaiseminen voisi lisätä huomattavasti BotenaGon muunnelmia . Syynä on se, että muut haittaohjelmien tekijät käyttävät ja mukauttavat lähdekoodia tiettyihin tarkoituksiinsa ja hyökkäyskampanjoihinsa. Tämä vaikuttaa epäilemättä miljooniin reitittimiin ja IoT-laitteisiin. Asianomaisten tuotemerkkien on tehtävä lujasti töitä korjatakseen haavoittuvuudet ja julkaistava vastaavat päivitykset mahdollisimman pian näiden tietokoneiden suojaamiseksi. Lisäksi yksi BotenaGo-hyötykuormapalvelimista on myös äskettäin löydettyjen Log4j-haavoittuvuuksien kompromissiluettelossa.
Mitä tulee BotenaGo-haittaohjelmiin, se koostuu vain 2,891 30 koodirivistä ja voi olla hyvä lähtökohta uusille versioille. Lisäksi se, että se on täynnä yli XNUMX haavoittuvuutta miljoonille reitittimille ja IoT-laitteille, on toinen tekijä, jota haittaohjelmien tekijät pitävät todennäköisesti houkuttelevana. Monien haavoittuvuuksien joukosta, joita BotenaGo voi hyödyntää, löydämme:
- CVE-2015-2051 vaikuttaa tiettyihin D-Linkin Wi-Fi-reitittimiin.
- CVE-2016-1555, joka vaikuttaa Netgear-tuotteisiin,
- CVE-2013-3307 Linksys-laitteissa.
- CVE-2014-2321, joka vaikuttaa tiettyihin ZTE-kaapelimodeemeihin.
Lopuksi huolestuttava tosiasia on, että AT&T Alien Labsin mukaan vain kolme 60 VirusTotal-viruksentorjuntaohjelmasta pystyy tällä hetkellä havaitsemaan tämän haittaohjelman.
