Milioni di router e dispositivi IoT a rischio di questa vulnerabilità

Milioni di router e altri dispositivi a rischio

Secondo un fornitore di sicurezza, " Botena Vai ” contiene exploit per oltre 30 vulnerabilità nei prodotti di più fornitori e viene utilizzato per diffondere il malware della botnet Mirai. Gli autori di questo pericoloso malware che prende di mira milioni di router e dispositivi Internet of Things (IoT) hanno caricato il suo codice sorgente su GitHub. Ciò significa che altri criminali possono ora generare rapidamente nuove varianti dello strumento o utilizzarlo così com'è ora per eseguire le loro campagne. Potresti essere interessato a sapere se il tuo IP fa parte di una botnet e come evitarlo.

I ricercatori di AT&T Alien Labs sono stati i primi a individuare questo malware e lo hanno chiamato BotenaGo. Questo malware è scritto in Go, un linguaggio di programmazione diventato molto popolare tra i criminali informatici. In questo caso arriva ricco di exploit per oltre 30 vulnerabilità che colpiscono molti marchi , inclusi Linksys, D-Link, NETGEAR e ZTE.

Come funziona questo malware

Come per BotenaGo, è stato progettato per eseguire comandi shell remoti su sistemi in cui una vulnerabilità è stata sfruttata con successo. L'anno scorso un Analisi AT&T Alien Labs per prima cosa ha scoperto che il malware BotenaGo utilizzava due metodi diversi per ricevere comandi per attaccare le vittime. Queste due procedure consistono in:

1. Hanno usato due backdoor per ascoltare e ricevere gli indirizzi IP dei dispositivi di destinazione.
2. Configurano un listener per l'input utente di I/O di sistema e ricevono le informazioni sulla destinazione attraverso di esso.

Questi ricercatori hanno anche scoperto che il malware è progettato per ricevere comandi da un server remoto, non ha alcun comando attivo e comunicazione di controllo. Hanno quindi ipotizzato che BotenaGo facesse parte di un pacchetto malware più ampio e probabilmente uno dei molteplici strumenti utilizzati in un attacco. Inoltre, i collegamenti al carico utile sono risultati simili a quelli utilizzati dal malware della botnet Mirai. Da ciò si potrebbe dedurre che BotenaGo è probabilmente un nuovo strumento degli operatori Mirai.

Dispositivi IoT e milioni di router interessati

I motivi per cui il Codice sorgente BotenaGo è stato rilasciato tramite GitHub non sono chiari. Tuttavia, le possibili conseguenze possono essere stimate. Il la pubblicazione del codice sorgente potrebbe aumentare notevolmente le varianti di BotenaGo . Il motivo è che altri autori di malware utilizzano e adattano il codice sorgente ai loro scopi specifici e alle loro campagne di attacco. Ciò influenzerà senza dubbio milioni di router e dispositivi IoT. I marchi interessati dovranno lavorare sodo per correggere le vulnerabilità e rilasciare gli aggiornamenti corrispondenti il ​​prima possibile per proteggere questi computer. Inoltre, uno dei server di payload BotenaGo è anche nell'elenco degli indicatori di compromissione delle vulnerabilità Log4j scoperte di recente.

Per quanto riguarda il malware BotenaGo, è costituito da sole 2,891 righe di codice e può essere un buon punto di partenza per nuove varianti. Inoltre, il fatto che sia ricco di exploit per oltre 30 vulnerabilità per milioni di router e dispositivi IoT è un altro fattore che probabilmente gli autori di malware troveranno interessante. Tra le tante vulnerabilità che BotenaGo può sfruttare troviamo:

• CVE-2015-2051 che interessa alcuni router Wi-Fi D-Link.
• CVE-2016-1555 che interessa i prodotti Netgear,
• CVE-2013-3307 sui dispositivi Linksys.
• CVE-2014-2321 che interessa alcuni modem via cavo ZTE.

Infine, un fatto preoccupante è che, secondo AT&T Alien Labs, solo tre dei 60 antivirus VirusTotal sono attualmente in grado di rilevare questo malware.