BotenaGo Botnet

BotenaGo Botnet Kuvaus

Uusi BotenaGo-niminen bottiverkko on tunnistettu luonnosta. Uhka voi saastuttaa miljoonia haavoittuvia IoT-laitteita ja reitittimiä. Analysoituaan otoksen uhista AT&T:n tutkijat havaitsivat, että se voisi hyödyntää yli 33:a reitittimistä, modeemeista ja NAS-laitteista löydettyä haavoittuvuutta. Joihinkin kohdekoneisiin kuuluvat D-link-reitittimet (CVE-2015-2051, CVE-2020-9377, CVE-2016-11021 kautta), Realtek SDK-pohjaiset reitittimet (CVE-2019-19824), ZTE-modeemit (CVE-2014). -2321), Netgear-laitteet (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) ja paljon muuta.

Kuten sen nimi saattaa vihjata, BotenaGo-botnet on luotu Go-ohjelmointikielellä. Go on kasvattanut suosiotaan kyberrikollisten keskuudessa viime vuosien ajan, koska se tarjoaa monialustaisia toimintoja tehden samalla uhkia vaikeammaksi havaita ja palauttaa.

Uhkaava toiminnallisuus

Kun BotenaGo-haittaohjelma otetaan käyttöön kohteena olevassa laitteessa, se perustaa kuuntelurutiineja kahdelle tietylle portille - 31412 ja 194121. Uhka odottaa IP-osoitteen, jonka hyökkääjät antavat sille. Saatuaan sopivan IP-osoitteen BotenaGo jatkaa hyödyntämiensä haavoittuvuuksien läpi päästäkseen käsiksi. Myöhemmin se suorittaa useita komentotulkkikomentoja laitteen lisäämiseksi bottiverkkoonsa. Uhka hakee kohdelaitteelle sopivan hyötykuorman useiden eri linkkien kautta.

Ei vielä toiminnassa

Tutkijat eivät pystyneet saamaan mitään hyötykuormia isännöintipalvelimelta, eivätkä he havainneet BotneaGon ja sen Command-and-Control (C2, C&C) -palvelimen välistä viestintää. Tietoa ei ole tarpeeksi konkreettista selitystä varten, mutta infosec-asiantuntijoilla on kolme mahdollista skenaariota:

  1. Löytynyt BotenaGo-botnet on vain yksi monista moduuleista, jotka ovat osa monivaiheista haittaohjelmahyökkäystä.
  2. Uhka voi olla uusi työkalu, jota Mirai- operaattorit käyttävät. Tätä olettamusta tukevat useat linkit, joita käytetään hyötykuormien toimittamiseen.
  3. C2-viestinnän puute voi olla yksinkertaisesti merkki siitä, että BotenaGo ei ole vielä valmis käyttöönotolle ja tutkijoiden pyytämä näyte pääsi vahingossa luontoon.

Käyttäjien ja yritysten tulee huomioida uhan IoC:t (Indicators of Compromise) ja ryhtyä riittäviin vastatoimiin.