BotenaGo Botnet

Et nyt botnet ved navn BotenaGo er blevet identificeret i naturen. Truslen har kapacitet til at inficere millioner af sårbare IoT-enheder (Internet of Things) og routere. Efter at have analyseret en prøve af truslen, opdagede forskerne ved AT&T, at den kunne udnytte over 33 sårbarheder fundet i routere, modemer og NAS-enheder. Nogle af de målrettede maskiner inkluderer D-link-routere (via CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), Realtek SDK-baserede routere (CVE-2019-19824), ZTE Modems (CVE-2014) -2321), Netgear-enheder (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) og mere.

Som navnet måske antyder, er BotenaGo-botnettet oprettet ved hjælp af Go-programmeringssproget. Go har vundet popularitet blandt cyberkriminelle i de sidste mange år, da det tilbyder funktionalitet på tværs af platforme, samtidig med at det både gør truslerne sværere at opdage og omvendt udvikle.

Truende funktionalitet

Når den installeres på den målrettede enhed, vil BotenaGo-malwaren etablere lytterutiner på to specifikke porte - 31412 og 194121. Truslen venter på, at en IP-adresse bliver leveret til den af angriberne. Efter at have modtaget en passende IP, vil BotenaGo fortsætte med at køre gennem de sårbarheder, den udnytter i et forsøg på at få adgang. Bagefter vil den køre flere shell-kommandoer for at tilføje enheden til dens botnet. Truslen henter en nyttelast, der passer til den målrettede enhed via flere forskellige links.

Ikke operationel endnu

Forskerne var ikke i stand til at opnå nogen nyttelast fra hostingserveren, og de opdagede ikke nogen kommunikation mellem BotneaGo og dens Command-and-Control (C2, C&C) server. Der er ikke nok data til en konkret forklaring, men infosec-eksperter har tre potentielle scenarier:

1. Det fundne BotenaGo-botnet er blot et ud af flere moduler, der er en del af et multi-trins malware-angreb.
2. Truslen kan være et nyt værktøj, der bruges af Mirai- operatører. Denne formodning understøttes af adskillige links, der bruges til at levere nyttelast.
3. Manglen på C2-kommunikation kan ganske enkelt være et tegn på, at BotenaGo endnu ikke er klar til indsættelse, og prøven, som forskerne fangede, blev frigivet i naturen ved et uheld.

Brugere og virksomheder bør notere sig truslens IoC'er (Indicators of Compromise) og implementere tilstrækkelige modforanstaltninger.