Millioner av rutere og IoT-enheter er utsatt for dette sikkerhetsproblemet

Nettkriminelle for å tjene penger utfører ulike typer angrep. De som vanligvis rapporterer de beste resultatene er løsepengevare og phishing. Noen ganger, enten individuelt eller som en gruppe, genererer de denne skadelige programvaren med sikte på å infisere forskjellige enheter. Det som gjør dem mer effektive er at de inkluderer uoppdagede sårbarheter i rutere og andre enheter. Men i dag er det som har skjedd at kildekoden til skadelig programvare som allerede fantes har blitt publisert. I denne artikkelen skal vi se hvordan millioner av rutere og IOT enheter blir kompromittert av skadelig programvarekildekode som har blitt publisert på GitHub.

Millioner av rutere og IoT-enheter er utsatt for dette sikkerhetsproblemet

Millioner av rutere og andre enheter i fare

Ifølge en sikkerhetsleverandør, " BotenaGo ” inneholder utnytter mer enn 30 sårbarheter i produkter fra flere leverandører og brukes til å spre Mirai botnet malware. Forfatterne av denne farlige skadevare rettet mot millioner av rutere og Internet of Things (IoT)-enheter har lastet opp kildekoden til GitHub. Det betyr at andre kriminelle nå raskt kan generere nye varianter av verktøyet eller bruke det slik det er nå for å kjøre kampanjene sine. Du kan være interessert i hvordan du vet om IP-en din er en del av et botnett og hvordan du unngår det.

Forskere fra AT&T Alien Labs var de første som oppdaget denne skadelige programvaren og kalte den BotenaGo. Denne skadevare er skrevet i Go, et programmeringsspråk som har blitt ganske populært blant nettkriminelle. I dette tilfellet kommer det fullpakket med utnyttelser for over 30 sårbarheter som påvirker mange merker , inkludert Linksys, D-Link, NETGEAR og ZTE.

Hvordan denne malware fungerer

Når det gjelder BotenaGo, ble den designet for å utføre eksterne skallkommandoer på systemer der en sårbarhet har blitt utnyttet. I fjor an AT&T Alien Labs analyse fant først ut at BotenaGo-malware brukte to forskjellige metoder for å motta kommandoer for å angripe ofre. Disse to prosedyrene består av:

  1. De brukte to bakdører for å lytte og motta IP-adressene til målenhetene.
  2. De setter opp en lytter for system-I/O-brukerinndata og mottar destinasjonsinformasjon gjennom den.

Disse forskerne oppdaget også at skadelig programvare er designet for å motta kommandoer fra en ekstern server, den har ingen aktiv kommando- og kontrollkommunikasjon. De antok derfor at BotenaGo var en del av en større skadevarepakke og sannsynligvis et av flere verktøy som ble brukt i et angrep. Dessuten ble nyttelastkoblingene funnet å være lik de som ble brukt av Mirai botnet-malware. Fra dette kan det utledes at BotenaGo sannsynligvis er et nytt verktøy for Mirai-operatørene.

IoT-enheter og millioner av rutere er berørt

Årsakene til at BotenaGo kildekode har blitt utgitt via GitHub er uklare. De mulige konsekvensene kan imidlertid estimeres. De publisering av kildekoden kan øke variantene av BotenaGo betraktelig . Årsaken er at andre skadevareforfattere bruker og tilpasser kildekoden til deres spesifikke formål og angrepskampanjer. Dette vil utvilsomt føre til at millioner av rutere og IoT-enheter blir berørt. De berørte merkene må jobbe hardt for å rette opp sårbarhetene og frigi de tilsvarende oppdateringene så snart som mulig for å beskytte disse datamaskinene. Videre er en av BotenaGo-nyttelastserverne også på kompromissindikatoren over de nylig oppdagede Log4j-sårbarhetene.

Når det gjelder BotenaGo malware, består den av kun 2,891 30 linjer med kode og kan være et godt utgangspunkt for nye varianter. Dessuten er det fullpakket med utnyttelser for mer enn XNUMX sårbarheter for millioner av rutere og IoT-enheter, en annen faktor som forfattere av skadevare sannsynligvis vil finne attraktive. Blant de mange sårbarhetene som BotenaGo kan utnytte finner vi:

  • CVE-2015-2051 påvirker visse D-Link Wi-Fi-rutere.
  • CVE-2016-1555 som påvirker Netgear-produkter,
  • CVE-2013-3307 på Linksys-enheter.
  • CVE-2014-2321 som påvirker visse ZTE-kabelmodemer.

Til slutt, et bekymringsfullt faktum er at ifølge AT&T Alien Labs er bare tre av de 60 VirusTotal-antivirusene for øyeblikket i stand til å oppdage denne skadelige programvaren.