Киберпреступники для получения прибыли проводят различные виды атак. Те, которые обычно сообщают о лучших результатах, — это программы-вымогатели и фишинг. Иногда, индивидуально или в группе, они генерируют это вредоносное ПО с целью заражения различных устройств. Что делает их более эффективными, так это то, что они содержат необнаруженные уязвимости в маршрутизаторах и других устройствах. Однако сегодня произошло то, что исходный код уже существовавшего вредоносного ПО был опубликован. В этой статье мы увидим, как миллионы маршрутизаторов и IoT устройства скомпрометированы исходным кодом вредоносного ПО, опубликованным на GitHub.
Миллионы маршрутизаторов и других устройств в опасности
По словам поставщика систем безопасности, ” БотенаГо " содержит эксплуатирует более 30 уязвимостей в продуктах разных производителей и используется для распространения вредоносного ПО ботнета Mirai. Авторы этой опасной вредоносной программы, нацеленной на миллионы маршрутизаторов и устройств Интернета вещей (IoT), загрузили ее исходный код на GitHub. Это означает, что другие преступники теперь могут быстро создавать новые варианты инструмента или использовать его для проведения своих кампаний. Вас может заинтересовать, как узнать, является ли ваш IP-адрес частью ботнета, и как этого избежать.
Исследователи из AT&T Alien Labs первыми обнаружили это вредоносное ПО и назвали его BotenaGo. Эта вредоносная программа написана на языке программирования Go, который стал довольно популярным среди киберпреступников. В этом случае наступает упакован эксплойтами для более чем 30 уязвимостей, которые затрагивают многие бренды , включая Linksys, D-Link, NETGEAR и ZTE.
Как работает это вредоносное ПО
Что касается BotenaGo, то он был разработан для выполнения удаленных команд оболочки в системах, где была успешно использована уязвимость. В прошлом году Анализ AT&T Alien Labs впервые обнаружил, что вредоносное ПО BotenaGo использовало два разных метода для получения команд для атаки жертв. Эти две процедуры состоят из:
- Они использовали два бэкдора для прослушивания и получения IP-адресов целевых устройств.
- Они настраивают прослушиватель для системного ввода-вывода, вводимого пользователем, и получают через него информацию о назначении.
Эти исследователи также обнаружили, что вредоносное ПО предназначено для получения команд с удаленного сервера и не имеет активной связи для управления и контроля. Таким образом, они предположили, что BotenaGo является частью более крупного пакета вредоносных программ и, вероятно, одним из нескольких инструментов, использованных в атаке. Кроме того, было обнаружено, что ссылки полезной нагрузки аналогичны ссылкам, используемым вредоносной программой ботнета Mirai. Из этого можно сделать вывод, что BotenaGo, вероятно, является новым инструментом операторов Mirai.
Устройства IoT и миллионы маршрутизаторов затронуты
Причины, по которым Исходный код BotenaGo был выпущен через GitHub, неясны. Однако возможные последствия можно оценить. То публикация исходного кода может значительно увеличить количество вариантов BotenaGo . Причина в том, что другие авторы вредоносных программ используют и адаптируют исходный код для своих конкретных целей и кампаний атак. Это, несомненно, затронет миллионы маршрутизаторов и устройств IoT. Пострадавшим брендам придется приложить немало усилий, чтобы исправить уязвимости и как можно скорее выпустить соответствующие обновления для защиты этих компьютеров. Кроме того, один из серверов полезной нагрузки BotenaGo также находится в списке скомпрометированных недавно обнаруженных уязвимостей Log4j.
Что касается вредоносного ПО BotenaGo, оно состоит всего из 2,891 строки кода и может стать хорошей отправной точкой для новых вариантов. Кроме того, он содержит эксплойты для более чем 30 уязвимостей для миллионов маршрутизаторов и устройств IoT, что является еще одним фактором, который, вероятно, сочтут привлекательным авторы вредоносных программ. Среди многих уязвимостей, которые может использовать BotenaGo, мы находим:
- CVE-2015-2051 влияет на некоторые маршрутизаторы Wi-Fi D-Link.
- CVE-2016-1555, влияющая на продукты Netgear,
- CVE-2013-3307 на устройствах Linksys.
- CVE-2014-2321 влияет на некоторые кабельные модемы ZTE.
Наконец, беспокоит тот факт, что, по данным AT&T Alien Labs, только три из 60 антивирусов VirusTotal в настоящее время способны обнаруживать это вредоносное ПО.
