Criminalii cibernetici pentru a face profit efectuează diferite tipuri de atacuri. Cele care raportează de obicei cele mai bune rezultate sunt ransomware-ul și phishingul. Uneori, fie individual, fie ca grup, ei generează acest malware cu scopul de a infecta diferite dispozitive. Ceea ce le face mai eficiente este că includ vulnerabilități nedescoperite în routere și alte dispozitive. Cu toate acestea, astăzi ceea ce s-a întâmplat este că a fost publicat codul sursă al malware-ului care exista deja. În acest articol, vom vedea cum milioane de routere și IoT dispozitivele sunt compromise de codul sursă malware care a fost publicat pe GitHub.
Milioane de routere și alte dispozitive în pericol
Potrivit unui furnizor de securitate, ” BotenaGo ” conține exploatează peste 30 de vulnerabilități în produse de la mai mulți furnizori și este folosit pentru a răspândi malware-ul Mirai botnet. Autorii acestui malware periculos care vizează milioane de routere și dispozitive Internet of Things (IoT) și-au încărcat codul sursă pe GitHub. Aceasta înseamnă că alți criminali pot acum genera rapid noi variante ale instrumentului sau îl pot folosi așa cum este acum pentru a-și desfășura campaniile. Ați putea fi interesat de cum să știți dacă IP-ul dvs. face parte dintr-o rețea bot și cum să o evitați.
Cercetătorii de la AT&T Alien Labs au fost primii care au descoperit acest malware și l-au numit BotenaGo. Acest malware este scris în Go, un limbaj de programare care a devenit destul de popular printre criminalii cibernetici. In acest caz vine plin de exploit-uri pentru peste 30 de vulnerabilități care afectează multe mărci , inclusiv Linksys, D-Link, NETGEAR și ZTE.
Cum funcționează acest malware
În ceea ce privește BotenaGo, acesta a fost conceput pentru a executa comenzi shell de la distanță pe sistemele în care o vulnerabilitate a fost exploatată cu succes. Anul trecut an Analiza AT&T Alien Labs a constatat mai întâi că malware-ul BotenaGo a folosit două metode diferite pentru a primi comenzi pentru a ataca victimele. Aceste două proceduri constau în:
- Au folosit două uși din spate pentru a asculta și a primi adresele IP ale dispozitivelor țintă.
- Aceștia au configurat un ascultător pentru intrarea utilizatorului de sistem I/O și primesc informații despre destinație prin intermediul acestuia.
Acești cercetători au descoperit, de asemenea, că malware-ul este conceput pentru a primi comenzi de la un server la distanță, nu are nicio comandă activă și comunicare de control. Ei au presupus astfel că BotenaGo făcea parte dintr-un pachet malware mai mare și probabil unul dintre instrumentele multiple utilizate într-un atac. Mai mult, s-a constatat că linkurile de încărcare utilă sunt similare cu cele utilizate de malware-ul Mirai botnet. Din aceasta se poate deduce că BotenaGo este probabil un nou instrument al operatorilor Mirai.
Dispozitivele IoT și milioane de routere afectate
Motivele pentru care Cod sursă BotenaGo a fost lansat prin GitHub nu sunt clare. Cu toate acestea, posibilele consecințe pot fi estimate. The publicarea codului sursă ar putea crește foarte mult variantele BotenaGo . Motivul este că alți autori de malware folosesc și adaptează codul sursă pentru scopurile lor specifice și pentru campaniile de atac. Acest lucru va cauza, fără îndoială, milioane de routere și dispozitive IoT să fie afectate. Mărcile afectate vor trebui să depună eforturi pentru a corecta vulnerabilitățile și a lansa actualizările corespunzătoare cât mai curând posibil pentru a proteja aceste computere. În plus, unul dintre serverele de încărcare utilă BotenaGo se află și pe lista de compromisuri a vulnerabilităților Log4j descoperite recent.
În ceea ce privește malware-ul BotenaGo, acesta este format din doar 2,891 de linii de cod și poate fi un bun punct de plecare pentru noi variante. De asemenea, faptul că vine plin cu exploit-uri pentru mai mult de 30 de vulnerabilități pentru milioane de routere și dispozitive IoT este un alt factor pe care autorii de malware îl vor găsi probabil atractiv. Printre numeroasele vulnerabilități pe care le poate exploata BotenaGo găsim:
- CVE-2015-2051 care afectează anumite routere Wi-Fi D-Link.
- CVE-2016-1555 care afectează produsele Netgear,
- CVE-2013-3307 pe dispozitivele Linksys.
- CVE-2014-2321 care afectează anumite modemuri de cablu ZTE.
În cele din urmă, un fapt îngrijorător este că, conform AT&T Alien Labs, doar trei dintre cele 60 de antivirusuri VirusTotal sunt în prezent capabile să detecteze acest malware.