Cybercriminelen om winst te maken voeren verschillende soorten aanvallen uit. Degenen die meestal de beste resultaten rapporteren, zijn ransomware en phishing. Soms genereren ze, individueel of als groep, deze malware met als doel verschillende apparaten te infecteren. Wat ze efficiënter maakt, is dat ze onontdekte kwetsbaarheden in routers en andere apparaten bevatten. Wat er vandaag is gebeurd, is echter dat de broncode van malware die al bestond, is gepubliceerd. In dit artikel gaan we zien hoe miljoenen routers en IoT apparaten worden gecompromitteerd door malware-broncode die is gepubliceerd op GitHub.
Miljoenen routers en andere apparaten lopen gevaar
Volgens een beveiligingsleverancier " BotenaGo ” bevat exploits voor meer dan 30 kwetsbaarheden in producten van meerdere leveranciers en wordt gebruikt om de Mirai-botnet-malware te verspreiden. De auteurs van deze gevaarlijke malware die zich richt op miljoenen routers en Internet of Things (IoT)-apparaten, hebben de broncode geüpload naar GitHub. Dit betekent dat andere criminelen nu snel nieuwe varianten van de tool kunnen genereren of het zoals het nu is kunnen gebruiken om hun campagnes uit te voeren. Mogelijk bent u geïnteresseerd in hoe u kunt weten of uw IP deel uitmaakt van een botnet en hoe u dit kunt vermijden.
Onderzoekers van AT&T Alien Labs waren de eersten die deze malware ontdekten en noemden het BotenaGo. Deze malware is geschreven in Go, een programmeertaal die behoorlijk populair is geworden onder cybercriminelen. In dit geval komt het boordevol exploits voor meer dan 30 kwetsbaarheden die van invloed zijn op veel merken , inclusief Linksys, D-Link, NETGEAR en ZTE.
Hoe deze malware werkt
Wat BotenaGo betreft, het is ontworpen om shell-opdrachten op afstand uit te voeren op systemen waar een kwetsbaarheid met succes is uitgebuit. vorig jaar en AT&T Alien Labs-analyse ontdekte voor het eerst dat de BotenaGo-malware twee verschillende methoden gebruikte om opdrachten te ontvangen om slachtoffers aan te vallen. Deze twee procedures bestaan uit:
- Ze gebruikten twee achterdeuren om de IP-adressen van de doelapparaten te beluisteren en te ontvangen.
- Ze stellen een listener in voor systeem-I/O-gebruikersinvoer en ontvangen er bestemmingsinformatie door.
Deze onderzoekers ontdekten ook dat de malware is ontworpen om opdrachten van een externe server te ontvangen, maar geen actieve opdracht- en besturingscommunicatie heeft. Ze gingen er dus van uit dat BotenaGo deel uitmaakte van een groter malwarepakket en waarschijnlijk een van de meerdere tools die bij een aanval werden gebruikt. Bovendien bleken de payload-links vergelijkbaar te zijn met die van de Mirai-botnet-malware. Hieruit zou kunnen worden afgeleid dat BotenaGo waarschijnlijk een nieuwe tool is van de Mirai-operators.
IoT-apparaten en miljoenen routers getroffen
De redenen waarom de BotenaGo-broncode is vrijgegeven via GitHub zijn onduidelijk. De mogelijke gevolgen kunnen echter worden ingeschat. De publicatie van de broncode kan de varianten van BotenaGo . aanzienlijk vergroten . De reden is dat andere malware-auteurs de broncode gebruiken en aanpassen voor hun specifieke doeleinden en aanvalscampagnes. Dit zal ongetwijfeld leiden tot miljoenen routers en IoT-apparaten. De getroffen merken zullen hard moeten werken om de kwetsbaarheden te corrigeren en de bijbehorende updates zo snel mogelijk uit te brengen om deze computers te beschermen. Bovendien staat een van de BotenaGo-payloadservers ook op de indicator van de compromislijst van de recent ontdekte Log4j-kwetsbaarheden.
De BotenaGo-malware bestaat uit slechts 2,891 regels code en kan een goed startpunt zijn voor nieuwe varianten. Ook dat het boordevol exploits zit voor meer dan 30 kwetsbaarheden voor miljoenen routers en IoT-apparaten, is een andere factor die malware-auteurs waarschijnlijk aantrekkelijk zullen vinden. Onder de vele kwetsbaarheden die BotenaGo kan misbruiken, vinden we:
- CVE-2015-2051 beïnvloedt bepaalde D-Link wifi-routers.
- CVE-2016-1555 beïnvloedt Netgear-producten,
- CVE-2013-3307 op Linksys-apparaten.
- CVE-2014-2321 beïnvloedt bepaalde ZTE-kabelmodems.
Tot slot is een zorgwekkend feit dat volgens AT&T Alien Labs slechts drie van de 60 VirusTotal-antivirussen momenteel in staat zijn om deze malware te detecteren.