BotenaGo Botnet

BotenaGo Botnet Popis

Ve volné přírodě byl identifikován nový botnet s názvem BotenaGo. Hrozba má kapacitu infikovat miliony zranitelných IoT (Internet of Things) zařízení a routerů. Po analýze vzorku hrozby výzkumníci z AT&T skutečně zjistili, že by mohla zneužít více než 33 zranitelností nalezených ve směrovačích, modemech a zařízeních NAS. Některé z cílových strojů zahrnují směrovače D-link (prostřednictvím CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), směrovače založené na Realtek SDK (CVE-2019-19824), modemy ZTE (CVE-2014 -2321), zařízení Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) a další.

Jak by jeho název mohl napovídat, botenaGo botnet je vytvořen pomocí programovacího jazyka Go. Go si v posledních několika letech získává na popularitě mezi kyberzločinci, protože nabízí funkcionalitu napříč platformami a zároveň ztěžuje odhalení a zpětnou analýzu hrozeb.

Ohrožující funkčnost

Po nasazení na cílové zařízení malware BotenaGo zavede naslouchací rutiny na dvou konkrétních portech – 31412 a 194121. Hrozba čeká na IP adresu, kterou jí útočníci poskytnou. Po obdržení vhodné IP adresy BotenaGo při pokusu o získání přístupu projde zranitelná místa, která využije. Poté spustí několik příkazů shellu pro přidání zařízení do jeho botnetu. Hrozba načítá užitečné zatížení vhodné pro cílové zařízení prostřednictvím několika různých odkazů.

Dosud nefunkční

Výzkumníci nebyli schopni získat žádné užitečné zatížení z hostitelského serveru a nezjistili žádnou komunikaci mezi BotneaGo a jeho serverem Command-and-Control (C2, C&C). Pro konkrétní vysvětlení není dostatek údajů, ale odborníci na infosec mají tři potenciální scénáře:

  1. Nalezený botnet BotenaGo je jen jedním z několika modulů, které jsou součástí vícefázového malwarového útoku.
  2. Hrozbou by mohl být nový nástroj, který používají operátoři Mirai. Tuto domněnku podporuje několik odkazů používaných k doručování užitečného zatížení.
  3. Nedostatek komunikace C2 může být jednoduše známkou toho, že BotenaGo ještě není připraveno k nasazení a vzorek chycený výzkumníky byl náhodně vypuštěn do volné přírody.

Uživatelé a společnosti by měli vzít na vědomí IoC (Indicators of Compromise) hrozby a zavést dostatečná protiopatření.